Sofistike bir Çin devlet destekli siber casusluk kampanyası, Tayvan’ın kritik yarı iletken endüstrisini hedefleyen, silahlandırılmış kobalt grev işaretçileri ve ileri sosyal mühendislik taktikleri kullanmayı hedefliyor.
Mart ve Haziran 2025 arasında, çoklu tehdit aktörleri, bu hayati sektörde teknolojik kendi kendine yeterlilik elde etmek için Çin’in stratejik zorunluluğunu yansıtan yarı iletken üretim, tasarım ve tedarik zinciri organizasyonlarına karşı koordineli saldırılar başlattı.
Kampanya, Tayvan’ın yarı iletken ekosistemine karşı Çin siber operasyonlarında önemli bir yükselmeyi temsil ediyor ve saldırganlar kötü niyetli yükler sunmak için istihdam temalı kimlik avı e-postalarından yararlanıyor.
Bu operasyonların zamanlaması, Çin’in siber yollarla yarı iletken teknolojileri ve zeka edinmeye odaklanmasına odaklanan artan jeopolitik gerilimler ve devam eden ihracat kontrolleri ile çakışır.
UNK_FISTBUMP olarak adlandırılan birincil tehdit oyuncusu, özellikle Tayvan merkezli yarı iletken üreticilerini ve tedarik zinciri ortaklarını hedefleyen Mayıs ve Haziran 2025 döneminde teknik olarak en sofistike saldırıları düzenledi.
Bu operasyonlar, güvenilirliği artırmak ve ilk güvenlik tarama mekanizmalarını atlamak için tehlikeye atılmış Tayvan Üniversitesi e -posta hesapları kullanılmıştır.
Proofpoint analistleri, UNK_FISTBUMP’in hem Cobalt Strike Beacon implantları hem de Voldemort adlı özel bir arka kapı, özenle hazırlanmış spearphishing kampanyaları aracılığıyla çift ücretli bir yük stratejisi kullandığını belirledi.
Saldırganlar, insan kaynakları personelini ve işe alım personelini cezbetmek için “ürün mühendisliği (malzeme analizi/süreç optimizasyonu) – Ulusal Tayvan Üniversitesi” gibi konu hatlarını kullanarak istihdam fırsatları arayan lisansüstü öğrenciler olarak poz verdiler.
Kötü amaçlı yazılım enfeksiyon mekanizması, kötü niyetli LNK dosyaları içeren şifre korumalı RAR arşivleriyle başlayarak dikkate değer teknik gelişmişlik gösterir.
Yürütme üzerine LNK dosyası 崗位匹配度說明.pdf.lnk adlı bir VBS komut dosyasını tetikler Store.vbs Bu birkaç kritik işlem gerçekleştirir.
Komut dosyası dört temel dosyayı C:\Users\Public\Videos Dizin: javaw.exe– jli.dll– rc4.logve operasyonel güvenliği korumak için bir tuzak PDF belgesi.
Gelişmiş DLL Sideloading ve Kalıcılık Mekanizmaları
Saldırı zinciri, meşrulara karşı dll yan yükleme tekniklerinden yararlanır javaw.exe kötü niyetli yükleyen yürütülebilir jli.dll kütüphane.
.webp)
Bu DLL, RC4 şifreli bir Kobalt Strike Strike Beacon yükünü çözen sofistike bir yükleyici görevi görür. rc4.log Sabit kodlanmış anahtarı kullanarak dosya qwxsfvdtv.
Şifre çözme işlemi şu şekilde temsil edilebilir:-
RC4_Decrypt(rc4.log, "qwxsfvdtv") → Cobalt Strike BeaconKötü amaçlı yazılım, kayıt defteri modifikasyonu yoluyla kalıcılık oluşturur ve bir giriş oluşturur. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run kötü niyetli olmayı sağlayan javaw.exe Sistem başlatma sırasında yürütülebilir başlatılır.
.webp)
Kobalt Strike Beacon daha sonra sunucu ile komut ve kontrol iletişimi kurar 166.88.61[.]35 TCP bağlantı noktası 443 üzerinden, ağ trafiğini meşru işbirliği yazılımı iletişimi ile harmanlamak için özelleştirilmiş bir gotomeeting dövülebilir C2 profili kullanıyor.
Bu kampanya, devlet destekli aktörlerin kritik altyapı ve fikri mülkiyeti tehlikeye atmak için giderek daha fazla sofistike çok aşamalı kötü amaçlı yazılım dağıtım sistemlerini kullandıkları Tayvan’ın yarı iletken endüstrisinin karşılaştığı gelişen tehdit ortamının altını çiziyor.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.