Tehdit aktörlerinin Tayvan, Hong Kong ve Singapur gibi bölgelerdeki yarı iletken endüstrilerini hedef almak için Tayvan Yarı İletken Üretimi (TSMC) yemiyle birlikte HyperBro yükleyicinin bir çeşidini kullandığı bir siber casusluk kampanyası keşfedildi.
Bu tehdit aktörünün taktikleri, teknikleri, prosedürleri ve faaliyetleri Çin Halk Cumhuriyeti (PRC) destekli siber casusluk grubuna atfedilmektedir ve onlarla örtüşmektedir.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Teknik Analiz
HyperBro yükleyici çeşidi, DLL Tarafı Yükleme saldırısı için dijital olarak imzalanmış bir CyberArk ikili programı kullandı ve bunun sonucunda bir Cobalt Strike işaretçisinin bellek içi yürütülmesi sağlandı.
EclecticIQ tarafından yapılan ileri analiz, başka bir belgelenmemiş kötü amaçlı yazılım indiricisinin, güvenliği ihlal edilmiş bir Cobra DocGuard sunucusundan kötü amaçlı ikili dosyalar almak için PowerShell BitsTransfer modülünü kullandığını ortaya çıkardı.
Kötü amaçlı yazılım indiricisi aynı zamanda Cobalt Strike kabuk kodunu çalıştırmak için imzalı bir McAfee ikili dosyası olan mcods.exe’yi kullanan bir DLL Yan Yükleme tekniğini de kullanıyor. Ancak bu kabuk kodu, HyperBro yükleyici değişkeniyle bağlantılı aynı Cobalt Strike C2 sunucusunu kullanıyor.
Cobra DocGuard’ın ele geçirilen web sunucusu aynı zamanda Go dili tabanlı bir arka kapıya da ev sahipliği yaptı. “Şarj Silahı”. Bu arka kapının aynı tehdit aktörü tarafından yüklendiği ve uzaktan erişim sağlayacak şekilde tasarlandığı tespit edildi. Ayrıca kurbanın bilgisayarından saldırgan tarafından kontrol edilen bir C2 sunucusuna cihaz ve ağ bilgilerini de gönderir.
ChargeWeapon – GO Dil Tabanlı Arka Kapı
ChargeWeapon arka kapısı, virüs bulaştığında tehlikeye atılan ana bilgisayar hakkındaki verileri JSON formatında iletmeye başlar ve base64 kodlamasıyla gizlenir. Bilgiler Ana Bilgisayar adını, IP adresini (Ipv4 ve Ipv6 biçimi) ve İşlem ağacını içerir. Ayrıca 45 yaş üstü C2 iletişimi için POST isteğini kullanır.[.]77[.]37[.]145:8443.
Buna ek olarak, Windows varsayılan CLI üzerinden uzak cihazlarla etkileşim kurma, WMI yürütme, C2 bağlantısı sırasında Base64 gizleme ve virüslü ana bilgisayarlardaki dosyaları okuma veya yazma gibi yeteneklere de sahiptir.
Bu arka kapı, gopsutil, go-ole, wmi ve sys gibi birden fazla Go dili kitaplığını kullanır. Kötü amaçlı yazılım indiricisi, arka kapı ve diğer bilgiler hakkında eksiksiz bir rapor Eclecticiq tarafından yayınlandı.
Uzlaşma Göstergeleri
HyperBro Yükleyici
- 12e1f50d7c9cf546c90545588bc369fa90e03f2370883e7befd87e4d50ebf0df
- 7229bb62acc6feca55d05b82d2221be1ab0656431953012ebad7226adc63643b
- df847abbfac55fb23715cde02ab52cbe59f14076f9e4bd15edbe28dcecb2a348 – (meşru ikili)
- 45e7ce7b539bfb4f780c33faa1dff523463907ec793ff5d1e94204a8a6a00ab5
- df6dd612643a778dca8879538753b693df04b9cf02169d04183136a848977ce9
C2 IP’si:
- http://38[.]54[.]119[.]239:443/jquery-3.3.1.min.js
Şarj Silahı
- 3195fe1a29d0d44c0eaec805a4769d506d03493816606f58ec49416d26ce5135
C2 IP’si:
- 45[.]77[.]37[.]145:8443
Genel Kötü Amaçlı Yazılım İndirici
- ee66ebcbe872def8373a4e5ea23f14181ea04759ea83f01d2e8ff45d60c65e51
- e26f8b8091bbe5c62b73f73b6c9c24c2a2670719cf24ef8772b496815c6a6ce0 – (yükleyici modülü)
- e6bad7f19d3e76268a09230a123bb47d6c7238b6e007cc45c6bc51bb993e8b46 – (meşru ikili)
- ce226bd1f53819d6654caf04a7bb4141479f01f9225ac6fba49248920e57cb25
- 56f94f1df0338d254d0421e7baf17527817607a60c6f9c71108e60a12d7d6dcf
İkinci aşama kötü amaçlı yazılım eserlerinin IP Adresi:
- 45[.]32[.]33[.]17
- 23[.]224[.]61[.]12
- hxxp[://]154[.]93[.]7[.]99:8090/CDGSunucu3/images/zh/mcvsocfg[.]dll
- hxxp[://]154[.]93[.]7[.]99:8090/CDGSunucu3/images/zh/mcods[.]exe
- hxxp[://]154[.]93[.]7[.]99:8090/CDGSunucu3/images/zh/bin[.]yapılandırma
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.