Des acteurs menaçants ont été observés ciblant des entreprises de semi-conducteurs en Asie de l’Est avec des leurres se faisant passer pour Taiwan Semiconductor Manufacturing Company (TSMC), conçus pour lancer des balises Cobalt Strike.
L’ensemble d’intrusions, selon EclecticIQ, exploite une porte dérobée appelée HyperBro, qui est ensuite utilisée comme canal pour déployer le logiciel commercial de simulation d’attaque et la boîte à outils post-exploitation.
Une séquence d’attaque alternative aurait utilisé un téléchargeur de logiciels malveillants jusqu’alors non documenté pour déployer Cobalt Strike, ce qui indique que les acteurs de la menace ont conçu plusieurs approches pour infiltrer les cibles d’intérêt.
La société néerlandaise de cybersécurité a attribué la campagne à un acteur malveillant lié à la Chine en raison de l’utilisation d’HyperBro, qui a été presque exclusivement utilisé par un acteur malveillant connu sous le nom de Lucky Mouse (alias APT27, Budworm et Emissary Panda).
Des chevauchements tactiques ont également été découverts entre l’adversaire à l’origine des attaques et un autre groupe suivi par RecordedFuture sous le nom de RedHotel, qui chevauche également une équipe de piratage appelée Earth Lusca.
Une autre connexion chinoise provient de l’utilisation d’un serveur Web Cobra DocGuard probablement compromis pour héberger des binaires de deuxième étape, y compris un implant basé sur Go baptisé ChargeWeapon, pour distribution via le téléchargeur.
« ChargeWeapon est conçu pour obtenir un accès à distance et envoyer des informations sur les appareils et le réseau d’un hôte infecté à un attaquant contrôlé. [command-and-control] serveur », a déclaré Arda Büyükkaya, chercheuse chez EclecticIQ, dans une analyse publiée jeudi.
Il convient de noter qu’une version trojanisée du logiciel de cryptage Cobra DocGuard d’EsafeNet a également été liée au déploiement de PlugX, Symantec le liant à un acteur présumé lié à la Chine, nommé Carderbee.
Dans la chaîne d’attaque documentée par EclecticIQ, un document PDF sur le thème TSMC s’affiche comme leurre suite à l’exécution d’HyperBro, indiquant l’utilisation de techniques d’ingénierie sociale pour activer l’infection.
« En présentant un PDF d’apparence normale tout en exécutant secrètement un malware en arrière-plan, les risques que la victime devienne suspecte sont minimisés », a expliqué Büyükkaya.
Un aspect notable de l’attaque est que l’adresse du serveur C2 codée en dur dans la balise Cobalt Strike est déguisée en CDN jQuery légitime dans le but de contourner les défenses du pare-feu.
Cette divulgation intervient alors que le Financial Times a rapporté que l’agence belge de renseignement et de sécurité, le Service de sécurité de l’État (VSSE), s’efforce de « détecter et lutter contre d’éventuelles activités d’espionnage et/ou d’ingérence menées par des entités chinoises, dont Alibaba » à Liège. aéroport de fret.
Alibaba a nié tout acte répréhensible.
« Les activités de la Chine en Belgique ne se limitent pas à l’espion classique volant des secrets d’État ou au hacker paralysant une industrie essentielle ou un service gouvernemental derrière son PC », a noté l’agence dans un rapport de renseignement. « Pour tenter d’influencer les processus de prise de décision, la Chine utilise toute une gamme de ressources étatiques et non étatiques. »
Un rapport publié le mois dernier par le Département américain de la Défense (DoD) décrit la Chine comme représentant une « menace de cyberespionnage large et omniprésente », et qu’elle vole des secrets technologiques et entreprend des efforts de surveillance pour obtenir un avantage stratégique.
« En utilisant des moyens cybernétiques, la RPC s’est engagée dans des campagnes prolongées d’espionnage, de vol et de compromission contre les principaux réseaux de défense et les infrastructures critiques américaines plus larges, en particulier la base industrielle de défense (DIB) », a déclaré le ministère de la Défense.
