Ekim 2021’e kadar uzanan bir kampanya, yeni ve sinsi bir taktikle dikkatini Güneydoğu Asya’daki kumar operasyonlarına çevirdi: sohbet robotlarıyla müşteri destek temsilcilerini hedefliyor.
ESET’teki araştırmacılar kampanyaya “ChattyGoblin” adını verdiler ve Çin tarafından desteklenen tehdit gruplarına kadar izini sürdüler. ESET, tehdit aktörlerinin öncelikle CrowdStrike tarafından gözlemlenen ve belgelenen Comm100 ve LiveHelp uygulamalarına güvendiğini ekledi.
ESET belirli bir tanesini özetledi ChattyGoblin saldırısı geçen Mart ayında Filipinler’deki bir kumar şirketini hedef almak için bir chatbot kullandı.
ESET, “C# ile yazılmış, saldırganlar tarafından konuşlandırılan ilk damlatıcının adı agentupdate_plugins.exe’dir ve LiveHelp100 sohbet uygulaması tarafından indirilmiştir.” “Damlalık, SharpUnhooker aracını temel alan ikinci bir C# yürütülebilir dosyasını dağıtır.”
SharpUnhooker aracı daha sonra ChattyGoblin saldırısının ikinci aşamasını indirdi ve ESET’in eklediğine göre parola korumalı bir ZIP arşivinde saklandı.
“Son yük, ördek ördek canlısını kullanan bir Cobalt Strike işaretçisidir.[.]C&C sunucusu olarak en üstte.”
