شرکت های نیمه هادی در شرق آسیا با Cobalt Strike مورد هدف قرار می‌گیرند

شرکت های نیمه هادی در شرق آسیا با Cobalt Strike مورد هدف قرار می‌گیرند

تاریخ ایجاد

شرکت های نیمه هادی در شرق آسیا با فریب هایی به عنوان شرکت تولید نیمه هادی تایوان (TSMC) که برای ارائه Cobalt Strike beacons طراحی شده‌اند، مورد هدف قرار گرفته اند. مجموعه نفوذ، طبق گفته EclecticIQ، از یک درب پشتی به نام HyperBro استفاده می‌کند که سپس به عنوان مجرایی برای استقرار این نرم‌افزار شبیه‌سازی حمله تجاری و جعبه ابزار پس از بهره‌برداری، استفاده می‌شود.
گفته می شود که یک توالی حمله دیگر از دانلود کننده بدافزاری که قبلاً مستند نشده بود برای استقرار Cobalt Strike استفاده کرده است که نشان می دهد عوامل تهدید چندین رویکرد برای نفوذ به اهداف مورد نظر ابداع کرده اند. این شرکت امنیت سایبری هلندی این کمپین را به دلیل استفاده از HyperBro به یک عامل تهدید مرتبط با چین نسبت داد که تقریباً به طور انحصاری توسط یک تهدیدکننده معروف به Lucky Mouse (aka APT27, Budworm, and Emissary Panda)  مورد استفاده قرار گرفته است.
همچنین همپوشانی‌های تاکتیکی بین دشمن پشت حملات و خوشه دیگری که توسط RecordedFuture تحت نام RedHotel ردیابی شده است، کشف شده است که با گروه هکری به نام Earth Lusca نیز اشتراکاتی دارد. از دلایل دیگری که محققان این کمپین را به چین مرتبط می دانند ناشی از استفاده از سرور وب Cobra DocGuard مورد نفوذ برای میزبانی باینری های مرحله دوم، از جمله ایمپلنت مبتنی بر Go به نام ChargeWeapon، برای توزیع از طریق دانلود کننده است.
Arda Büyükkaya، محقق EclecticIQ، در تحلیلی گفت: «ChargeWeapon برای دسترسی از راه دور و ارسال اطلاعات دستگاه و شبکه از یک میزبان آلوده به یک سرور [command-and-control] تحت کنترل مهاجم طراحی شده است. این اطلاعات به احتمال زیاد توسط عوامل تهدید جمع‌آوری می‌شود تا شناسایی اولیه علیه میزبان‌های آلوده و شناسایی اهداف با ارزش بالا انجام شود.».
شایان ذکر است که یک نسخه تروجانیزه شده از نرم افزار رمزگذاری Cobra DocGuard EsafeNet نیز با استقرار PlugX مرتبط شده است و سیمانتک آن را به یک بازیگر مشکوک چینی با نام رمز Carderbee مرتبط کرده است. در زنجیره حمله مستند شده توسط EclecticIQ، یک سند PDF با مضمون TSMC به عنوان یک طعمه پس از اجرای HyperBro نمایش داده می شود که نشان دهنده استفاده از تکنیک های مهندسی اجتماعی برای فعال کردن ویروس است.

یکی از جنبه های قابل توجه این حمله این است که آدرس سرور C2 که در  Cobalt Strike beaconکدگذاری شده است، به عنوان یک CDN قانونی jQuery در تلاش برای دور زدن دفاعیات دیوار آتش پنهان شده است. گزارشی که ماه گذشته توسط وزارت دفاع ایالات متحده منتشر شد، چین را به عنوان یک "تهدید جاسوسی سایبری گسترده و فراگیر" توصیف کرد .


منبع: