Se ha observado que los actores de amenazas apuntan a empresas de semiconductores en el este de Asia con señuelos disfrazados de Taiwan Semiconductor Manufacturing Company (TSMC) que están diseñados para entregar balizas Cobalt Strike.
El conjunto de intrusión, por EclécticoIQaprovecha una puerta trasera llamada HyperBro, que luego se utiliza como conducto para implementar el software de simulación de ataques comerciales y el conjunto de herramientas posteriores a la explotación.
Se dice que una secuencia de ataque alternativa utilizó un descargador de malware previamente no documentado para implementar Cobalt Strike, lo que indica que los actores de la amenaza idearon múltiples enfoques para infiltrarse en objetivos de interés.
La empresa holandesa de ciberseguridad atribuyó la campaña a un actor de amenazas vinculado a China debido al uso de HyperBro, que ha sido utilizado casi exclusivamente por un actor de amenazas conocido como Lucky Mouse (también conocido como APT27, Budworm y Emissary Panda).
También se han descubierto superposiciones tácticas entre el adversario detrás de los ataques y otro grupo rastreado por RecordedFuture bajo el nombre de RedHotel, que también se superpone con un equipo de piratería llamado Earth Lusca.
Otra conexión china proviene del uso de un servidor web Cobra DocGuard probablemente comprometido para alojar archivos binarios de segunda etapa, incluido un implante basado en Go denominado ChargeWeapon, para su distribución a través del descargador.
«ChargeWeapon está diseñado para obtener acceso remoto y enviar información del dispositivo y de la red desde un host infectado a un atacante controlado [command-and-control] servidor», dijo el investigador de EclecticIQ Arda Büyükkaya en un análisis del jueves.
Vale la pena señalar que una versión troyanizada del software de cifrado Cobra DocGuard de EsafeNet también se ha vinculado al despliegue de PlugX, y Symantec lo vincula a un presunto actor del nexo con China con nombre en código Carderbee.
En la cadena de ataque documentada por EclecticIQ, un documento PDF con el tema de TSMC se muestra como señuelo después de la ejecución de HyperBro, lo que indica el uso de técnicas de ingeniería social para activar la infección.
«Al presentar un PDF de aspecto normal mientras se ejecuta de forma encubierta malware en segundo plano, se minimizan las posibilidades de que la víctima sospeche», explicó Büyükkaya.
Un aspecto notable del ataque es que la dirección del servidor C2 codificada en la baliza Cobalt Strike está disfrazada de una CDN jQuery legítima en un esfuerzo por eludir las defensas del firewall.
La divulgación se produce cuando el Financial Times reportado que la agencia belga de inteligencia y seguridad, el Servicio de Seguridad del Estado (VSSE), está trabajando para «detectar y luchar contra posibles actividades de espionaje y/o injerencia llevadas a cabo por entidades chinas, incluida Alibaba» en el aeropuerto de carga de Lieja del país.
Alibaba ha negado haber actuado mal.
«Las actividades de China en Bélgica no se limitan al clásico espía que roba secretos de Estado o al hacker que paraliza una industria esencial o un departamento gubernamental detrás de su PC», dijo la agencia. anotado en un informe de inteligencia. «En un intento de influir en los procesos de toma de decisiones, China utiliza una variedad de recursos estatales y no estatales».
Un informe publicado por el Departamento de Defensa (DoD) de EE. UU. el mes pasado describió China como una «amenaza de ciberespionaje amplia y generalizada», y que roba secretos tecnológicos y emprende esfuerzos de vigilancia para obtener una ventaja estratégica.
«Utilizando medios cibernéticos, la República Popular China ha participado en campañas prolongadas de espionaje, robo y compromiso contra redes de defensa clave y una infraestructura crítica más amplia de EE. UU., especialmente la Base Industrial de Defensa (DIB)», dijo el Departamento de Defensa. dicho.