Χάκερ που εμπλέκονται σε κατασκοπεία στον
κυβερνοχώρο
έχουν βάλει στο στόχαστρο εταιρείες ημιαγωγών που μιλούν κινεζικά με θέλγητρα με θέμα το TSMC που τις μολύνουν με φάρους Cobalt
Strike
.
Η Taiwan Semiconductor Manufacturing Company (TSMC) είναι η μεγαλύτερη εταιρεία κατασκευής και σχεδιασμού ημιαγωγών στον κόσμο, με ετήσια έσοδα 73,5 δισεκατομμυρίων δολαρίων και περισσότερους από 73.000 υπαλλήλους παγκοσμίως.
Η καμπάνια που εντόπισε το EclecticIQ επικεντρώνεται σε εταιρείες που εδρεύουν στην Ταϊβάν, το Χονγκ Κονγκ και τη Σιγκαπούρη, με τα παρατηρούμενα TTP (τακτικές, τεχνικές και διαδικασίες) να έχουν ομοιότητες με προηγούμενες δραστηριότητες που συνδέονται με ομάδες απειλών που υποστηρίζονται από το κινεζικό κράτος.
Ανάπτυξη Cobalt Strike
Έκθεση του Eclectic
δεν προσδιορίζει το αρχικό κανάλι συμβιβασμού, αλλά εικάζεται ότι πρόκειται για emails spear-
phishing
, μια τυπική προσέγγιση που χρησιμοποιείται σε
επιχειρήσεις
κυβερνοκατασκοπείας.
Σε αυτήν την καμπάνια, οι φορείς απειλών διανέμουν το πρόγραμμα φόρτωσης HyperBro για να εγκαταστήσουν έναν φάρο Cobalt Strike στη συσκευή που έχει παραβιαστεί, παρέχοντας απομακρυσμένη πρόσβαση στους παράγοντες απειλής.
Όταν κυκλοφορήσει το HyperBro, θα εμφανίσει επίσης ένα PDF που προσποιείται ότι προέρχεται από το TSMC για να αποσπάσει την προσοχή, να επιτύχει έναν πιο κρυφό συμβιβασμό και να αποφύγει την πρόκληση υποψιών.
Έγγραφο Decoy TSMC
(EclecticIQ)
Ο φορτωτής χρησιμοποιεί πλευρική φόρτωση DLL για την εκκίνηση ενός φάρου Cobalt Strike στη μνήμη, αξιοποιώντας ένα ψηφιακά υπογεγραμμένο δυαδικό αρχείο από το vfhost.exe του CyberArk.
Ένα αρχείο με το όνομα «bin.config» που περιέχει
κρυπτο
γραφημένο XOR κώδικα κελύφους Cobalt Strike αποκρυπτογραφείται και φορτώνεται στη νόμιμη διαδικασία «vfhost.exe», αποφεύγοντας την ανίχνευση AV.
Η διεύθυνση διακομιστή εντολών και ελέγχου (C2) που είναι κωδικοποιημένη στο εμφύτευμα Cobalt Strike που χρησιμοποιείται σε αυτήν την επίθεση, συγκαλύπτεται ως νόμιμο jQuery CDN, επιτρέποντάς του να παρακάμψει τις άμυνες του τείχους προστασίας.
C2 config εξάγεται από τον shellcode της Cobalt Strike
(EclecticIQ)
Σε μια δεύτερη παραλλαγή της επίθεσης, οι χάκερ χρησιμοποιούν έναν παραβιασμένο διακομιστή ιστού Cobra DocGuard για να αποθέσουν ένα πρόσθετο δυαδικό αρχείο McAfee (‘mcods.exe’) και να φορτώσουν περισσότερους κελύφους Cobalt Strike χρησιμοποιώντας πλευρική φόρτωση DLL ξανά μέσω του ‘mcvsocfg.dll’.
Οι δύο αλυσίδες επίθεσης
(EclecticIQ)
Σε αυτήν την περίπτωση, οι χάκερ ανέπτυξαν μια προηγουμένως μη τεκμηριωμένη κερκόπορτα που βασιζόταν στο Go με το όνομα «ChargeWeapon», σχεδιασμένη να συλλέγει και να μεταδίδει δεδομένα κεντρικού υπολογιστή στο C2 σε μορφή κωδικοποιημένης βάσης 64.
Το ChargeWeapon χρησιμοποιεί απλές μεθόδους αποφυγής κακόβουλου λογισμικού που παρέχονται μέσω του εργαλείου ανοιχτού κώδικα “garble”, ενώ στις δυνατότητές του περιλαμβάνονται τα εξής:
- Επικοινωνήστε με μια απομακρυσμένη συσκευή χρησιμοποιώντας την προεπιλεγμένη διεπαφή γραμμής εντολών των Windows
- Εκτέλεση εντολών μέσω των οργάνων διαχείρισης των Windows (WMI)
- Χρησιμοποιήστε το TCP μέσω HTTP για τις επικοινωνίες C2
- Χρησιμοποιήστε την κωδικοποίηση base64 για να αποκρύψετε δεδομένα κατά τη σύνδεση C2
- Διαβάζει και γράφει αρχεία στον μολυσμένο κεντρικό υπολογιστή
Αποδίδεται στην Κίνα
Η Eclectic λέει ότι τα παρατηρούμενα TTP εμφανίζουν εκτεταμένες ομοιότητες με τις επιχειρήσεις της κινεζικής ομάδας απειλών, όπως το RedHotel και το APT27 (γνωστό και ως Budworm, LuckyMouse).
«Οι αναλυτές του EclecticIQ αξιολογούν με μεγάλη σιγουριά ότι το αναλυόμενο Hyperbro Loader, το πρόγραμμα λήψης κακόβουλου λογισμικού και το GO backdoor είναι πολύ πιθανό να λειτουργούν και να αναπτύσσονται από έναν παράγοντα απειλών εθνικού κράτους που υποστηρίζεται από τη ΛΔΚ, λόγω θυματολογίας, υποδομής που παρατηρήθηκε, κώδικα κακόβουλου λογισμικού και ομοιότητας με προηγούμενα αναφερόμενα ομάδες δραστηριοτήτων», εξηγεί το EclecticIQ.
Η Symantec και η ESET έχουν αναφέρει προηγουμένως ότι τα APT που χρηματοδοτούνται από την Κίνα χρησιμοποιούν διακομιστές Cobra DocGuard για παράδοση κακόβουλου λογισμικού, ενισχύοντας περαιτέρω την υπόθεση απόδοσης σε Κινέζους χάκερ.