CarderPlanet
Professional
![malware.jpg](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBNjMamBA-XZhN8By0kkzX896EteYEcXbfy0pCPLWpl8cI9XnSVS6WHjMKNW5PbDXEmsgVnslL169ezqVjNFbYbn4SKy9bUuEjGeRHdS-QswUrBwRNjG5_fmrJbnTKa_q40YJxx2doSJlSdShfVGX8fooBi7eA_FSD8lE4q3leFHtwXm2YNXscYb-gIeKC/s728-rw-ft-e30/malware.jpg)
Были замечены злоумышленники, нацеленные на полупроводниковые компании в Восточной Азии с приманками, маскирующимися под Taiwan Semiconductor Manufacturing Company (TSMC), которые предназначены для доставки маяков Cobalt Strike.
Набор для вторжения, согласно EclecticIQ, использует бэкдор под названием HyperBro, который затем используется в качестве канала для развертывания коммерческого программного обеспечения для моделирования атак и инструментария для последующей эксплуатации.
Сообщается, что альтернативная последовательность атак использовала ранее недокументированный загрузчик вредоносного ПО для развертывания Cobalt Strike, что указывает на то, что злоумышленники разработали несколько подходов для проникновения в интересующие цели.
Голландская фирма по кибербезопасности приписала кампанию связанному с Китаем субъекту угрозы из-за использования HyperBro, который использовался почти исключительно субъектом угрозы, известным как Lucky Mouse (он же APT27, Budworm и Emissary Panda).
Также были обнаружены тактические совпадения между противником, стоящим за атаками, и другим кластером, отслеживаемым RecordedFuture под названием RedHotel, который также пересекается с командой хакеров под названием Earth Lusca.
Еще одна китайская связь связана с использованием, вероятно, скомпрометированного веб-сервера Cobra DocGuard для размещения двоичных файлов второго этапа, включая имплантат на базе Go, получивший название ChargeWeapon, для распространения через загрузчик.
"ChargeWeapon предназначен для получения удаленного доступа и отправки информации об устройстве и сети с зараженного хоста на контролируемый злоумышленником сервер [command-and-control]", - сказал исследователь EclecticIQ Арда Бююккая в анализе, опубликованном в четверг.
![Кобальтовый удар Кобальтовый удар](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgBFulG8FqF7aYb4czNPApuGgfOpZ8Oj9gZkqiRctb2MCL1WHo1lJ-PezEqnw1cAQKgI4YkD-pHNNWw-ZRVzglQQ0DOxKSx_7gMjHw0SD-xlg4WBQ7TqXmu2djTt75IvRB3qC9ojij77U6hkB-MYBd9VpfBgM0ofa0Xnfry8gl5XZJlwdyTveNf0EnMmWvv/s728-rw-ft-e30/loader.jpg)
Стоит отметить, что троянская версия программного обеспечения для шифрования Cobra DocGuard от EsafeNet также была связана с внедрением PlugX, а Symantec связывает ее с предполагаемым участником China nexus под кодовым названием Carderbee.
В цепочке атак, задокументированных EclecticIQ, PDF-документ на тему TSMC отображается в качестве приманки после выполнения HyperBro, указывая на использование методов социальной инженерии для активации инфекции.
"Представляя обычный PDF-файл при скрытом запуске вредоносного ПО в фоновом режиме, шансы того, что у жертвы возникнут подозрения, сводятся к минимуму", - пояснил Бююккая.
Примечательным аспектом атаки является то, что адрес сервера C2, жестко закодированный в Cobalt Strike beacon, замаскирован под законный jQuery CDN в попытке обойти защиту брандмауэра.
Раскрытие происходит после того, как Financial Times сообщила, что бельгийское агентство разведки и безопасности, Служба государственной безопасности (VSSE), работает над "обнаружением и борьбой с возможным шпионажем и / или вмешательством, осуществляемым китайскими организациями, включая Alibaba", в грузовом аэропорту страны Льеж.
![Semiconductor Semiconductor](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGKRQ1m_09HtlDhwV5LSDmf-8Epa6JpnGrW3S-lyQ1FFLwaCDSz1JXQWwbS7bGLK3OnPg5VhWWXqJDfx1rGoV4KL8eP_z4P03mlQo97PrQLzYr93tVC1ttbkzHV4F-xghhAWI3ykqY_EpiC3PxY-fwoAofGn63niWEp6PwqBWSlJ3b-AnrEiTet6z9icO2/s728-rw-ft-e30/sk.jpg)
Alibaba отрицает какие-либо нарушения.
"Деятельность Китая в Бельгии не ограничивается классическим шпионажем, крадущим государственные секреты, или хакером, парализующим важную отрасль или правительственный департамент из-за своего компьютера", - отметило агентство в отчете разведки. "В попытке повлиять на процессы принятия решений Китай использует ряд государственных и негосударственных ресурсов".
В докладе, опубликованном Министерством обороны США (DoD) в прошлом месяце, описывалось, что Китай представляет "широкую и всепроникающую угрозу кибершпионажа", и что он крадет технологические секреты и предпринимает усилия по наблюдению, чтобы получить стратегическое преимущество.
"Используя киберсредства, КНР участвовала в длительных кампаниях шпионажа, краж и компрометации ключевых оборонных сетей и более широкой критической инфраструктуры США, особенно оборонно-промышленной базы (DIB)", - сказал Министр обороны.