Le aziende di semiconduttori di lingua cinese sono state prese di mira da hacker che si dedicano al cyberspionaggio, utilizzando esche tematiche legate alla TSMC (Taiwan Semiconductor Manufacturing Company) per infettarle con beacon Cobalt Strike. La TSMC è la più grande azienda di progettazione e produzione di semiconduttori su contratto al mondo, con un fatturato annuo di 73,5 miliardi di dollari e oltre 73.000 dipendenti in tutto il mondo.
La campagna, individuata da EclecticIQ, si concentra su aziende con sede a Taiwan, Hong Kong e Singapore. Le TTP (tattiche, tecniche e procedure) osservate presentano somiglianze con attività precedenti legate a gruppi di minacce sostenuti dallo stato cinese.
Cobalt Strike
Anche se il report di Eclectic non specifica il canale di compromissione iniziale, si presume che sia legato a email di spear-phishing, un approccio tipico utilizzato nelle operazioni di cyberspionaggio. In questa campagna, gli attori della minaccia distribuiscono il loader HyperBro per installare un beacon Cobalt Strike sul dispositivo compromesso, fornendo accesso remoto agli attori della minaccia. Quando viene avviato HyperBro, mostra anche un PDF che finge di provenire dalla TSMC per deviare l’attenzione e ottenere un compromesso più furtivo.
Il loader utilizza il side-loading DLL per avviare un beacon Cobalt Strike in memoria, sfruttando un binario digitalmente firmato di vfhost.exe di CyberArk. Un file chiamato ‘bin.config’ che contiene shellcode Cobalt Strike criptato con XOR viene decrittografato e caricato nel legittimo processo ‘vfhost.exe’, eludendo il rilevamento AV.
In una seconda variante dell’attacco, gli hacker utilizzano un server web Cobra DocGuard compromesso per rilasciare un ulteriore binario McAfee (‘mcods.exe’) e caricare ulteriore shellcode Cobalt Strike utilizzando nuovamente il side-loading DLL tramite ‘mcvsocfg.dll’. In questo caso, gli hacker hanno distribuito un backdoor basato su Go precedentemente non documentato chiamato ‘ChargeWeapon’, progettato per raccogliere e trasmettere dati dell’host al C2 in forma codificata in base64.
La Cina è responsabile
Eclectic afferma che le TTP osservate mostrano ampie somiglianze con le operazioni dei gruppi di minacce cinesi, come RedHotel e APT27 (anche noti come Budworm, LuckyMouse). “Gli analisti di EclecticIQ valutano con alta fiducia che il loader Hyperbro analizzato, il downloader di malware e il backdoor GO siano molto probabilmente operati e sviluppati da un attore minaccioso sostenuto dallo stato della RPC, a causa della vittimologia, dell’infrastruttura osservata, del codice malware e della somiglianza con cluster di attività precedentemente segnalati”, spiega EclecticIQ.