Hackers participando de espionagem cibernética têm como alvo empresas de semicondutores que falam chinês com iscas temáticas da TSMC que as infectam com balizas do Cobalt Strike.
A Taiwan Semiconductor Manufacturing Company (TSMC) é a maior empresa do mundo de fabricação e design de semicondutores por contrato, com uma receita anual de US$ 73,5 bilhões e mais de 73.000 funcionários em todo o mundo.
A campanha identificada pela EclecticIQ foca em empresas basedas em Taiwan, Hong Kong e Singapura, com as TTPs observadas (táticas, técnicas e procedimentos) apresentando semelhanças com atividades anteriores vinculadas a grupos de ameaças apoiados pelo estado chinês.
O relatório da Eclectic não especifica o canal inicial de comprometimento, mas presume-se que sejam emails de spear-phishing, uma abordagem típica usada em operações de espionagem cibernética.
Nessa campanha, os agentes de ameaças distribuíram o carregador HyperBro para instalar uma baliza Cobalt Strike no dispositivo comprometido, dando acesso remoto aos agentes de ameaça.
Quando o HyperBro é lançado, também exibirá um PDF fingindo ser da TSMC para desviar a atenção, conseguir um comprometimento mais furtivo e evitar suspeitas.
O carregador usa DLL side-loading para lançar uma baliza Cobalt Strike na memória, aproveitando um binário digitalmente assinado do vfhost.exe do CyberArk.
Um arquivo chamado 'bin.config' que contém shellcode do Cobalt Strike criptografado com XOR é descriptografado e carregado no processo 'vfhost.exe' legítimo, evitando a detecção de AV.
O endereço do servidor de comando e controle (C2) codificado na implantação do Cobalt Strike usada neste ataque está disfarçado de um CDN jQuery legítimo, permitindo que ele passe pelas defesas do firewall.
Em uma segunda variante do ataque, os hackers usam um servidor web Cobra DocGuard comprometido para deixar um binário adicional do McAfee ('mcods.exe') e carregar mais shellcode do Cobalt Strike usando o DLL side-loading novamente via 'mcvsocfg.dll.'
Neste caso, os hackers implantaram um backdoor Go-based anteriormente não documentado chamado 'ChargeWeapon', projetado para coletar e transmitir dados do host para o C2 em formato codificado em base64.
ChargeWeapon emprega métodos simples de evasão de malware fornecidos pela ferramenta de código aberto "garble", enquanto suas capacidades incluem o seguinte:
Comunicação com um dispositivo remoto usando a interface de linha de comando do Windows por padrão
Execução de comandos por meio da Instrumentação de Gerenciamento do Windows (WMI)
Utilização de TCP sobre HTTP para suas comunicações C2
Uso de codificação base64 para ofuscar dados durante a conexão C2
Leitura e escrita de arquivos no host infectado
Eclectic diz que as TTPs observadas apresentam extensa similaridade com as operações de grupos de ameaça chineses, como RedHotel e APT27 (também conhecido como Budworm, LuckyMouse).
"Os analistas da EclecticIQ avaliam com alta confiança que o carregador Hyperbro, o downloader de malware e a backdoor GO são muito provavelmente operados e desenvolvidos por um agente de ameaça apoiado pelo estado nacional da RPC, devido à vitimologia, infraestrutura observada, código de malware e semelhança com clusters de atividade reportados anteriormente", explica a EclecticIQ.
Symantec e ESET ambas relataram anteriormente sobre APTs patrocinadas pela China, aproveitando servidores Cobra DocGuard para a entrega de malwares, fortalecendo ainda mais a hipótese de atribuição a hackers chineses.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...