- 9,680
- 18
- 8 Ноя 2022
Что хотят узнать хакеры и как будут использовать украденную информацию?
Специалисты компании EclecticIQ Для просмотра ссылки Войдиили Зарегистрируйся новую шпионскую кампанию, нацеленную на китайских производителей полупроводниковой продукции, в рамках которой используются документы-приманки, связанные с фирмой TSMC для заражения жертв маяками Cobalt Strike . Шпионские атаки направлены на компании, базирующиеся на Тайване, в Гонконге и Сингапуре.
Хотя отчет EclecticIQ не указывает первоначальный вектор компрометации, предполагается, что цепочка атак начинается с рассылок фишинговых писем, что является типичным методом в кибершпионских операциях. В рамках кампании злоумышленники распространяют загрузчик HyperBro для установки маяка Cobalt Strike на зараженное устройство, обеспечивая удаленный доступ к машине.
Загрузчик использует боковую загрузку DLL ( DLL Sideloading ) для запуска маяка Cobalt Strike, обходя обнаружение антивирусного ПО и используя легитимный процесс «vfhost.exe» компании CyberArk.
Во втором варианте атаки хакеры используют скомпрометированный веб-сервер Cobra DocGuard (CDG), чтобы загрузить бинарный файл McAfee и затем ещё один маяк Cobalt Strike. В этом случае злоумышленники использовали ранее не задокументированный бэкдор на базе Go, под названием ChargeWeapon.
Исследователи утверждают, что тактики, техники и процедуры (Tactics, Techniques and Procedures, TTPs ) кампании имеют совпадения с TTPs китайских групп RedHotel и APT27. Отмечается, что ранее был замечен факт использования серверов Cobra DocGuard китайскими APT-группами для доставки вредоносных программ, что укрепляет версию о происхождении хакеров.
Специалисты компании EclecticIQ Для просмотра ссылки Войди
Хотя отчет EclecticIQ не указывает первоначальный вектор компрометации, предполагается, что цепочка атак начинается с рассылок фишинговых писем, что является типичным методом в кибершпионских операциях. В рамках кампании злоумышленники распространяют загрузчик HyperBro для установки маяка Cobalt Strike на зараженное устройство, обеспечивая удаленный доступ к машине.
Загрузчик использует боковую загрузку DLL ( DLL Sideloading ) для запуска маяка Cobalt Strike, обходя обнаружение антивирусного ПО и используя легитимный процесс «vfhost.exe» компании CyberArk.
Во втором варианте атаки хакеры используют скомпрометированный веб-сервер Cobra DocGuard (CDG), чтобы загрузить бинарный файл McAfee и затем ещё один маяк Cobalt Strike. В этом случае злоумышленники использовали ранее не задокументированный бэкдор на базе Go, под названием ChargeWeapon.
Исследователи утверждают, что тактики, техники и процедуры (Tactics, Techniques and Procedures, TTPs ) кампании имеют совпадения с TTPs китайских групп RedHotel и APT27. Отмечается, что ранее был замечен факт использования серверов Cobra DocGuard китайскими APT-группами для доставки вредоносных программ, что укрепляет версию о происхождении хакеров.
- Источник новости
- www.securitylab.ru
