Ekim 2021’den kalma bir kampanya, yeni ve sinsi bir taktikle dikkatini Güneydoğu Asya’daki kumar operasyonlarına çevirdi: sohbet robotlarıyla müşteri destek temsilcilerini hedefliyor.
ESET’teki araştırmacılar kampanyaya “ChattyGoblin” adını verdiler ve Çin tarafından desteklenen tehdit gruplarına kadar izini sürdüler. ESET, tehdit aktörlerinin öncelikle CrowdStrike tarafından gözlemlenen ve belgelenen Comm100 ve LiveHelp uygulamalarına güvendiğini ekledi.
ESET, geçen Mart ayında Filipinler’deki bir kumar şirketini hedef alan bir chatbot kullanan belirli bir ChattyGoblin saldırısının ana hatlarını çizdi.
ESET, “C# ile yazılmış, saldırganlar tarafından konuşlandırılan ilk damlatıcının adı agentupdate_plugins.exe’dir ve LiveHelp100 sohbet uygulaması tarafından indirilmiştir.” “Damlalık, SharpUnhooker aracını temel alan ikinci bir C# yürütülebilir dosyasını dağıtır.”
SharpUnhooker aracı daha sonra ChattyGoblin saldırısının ikinci aşamasını indirerek şifre korumalı bir ZIP arşivinde saklandı, ESET ekledi.
“Son yük, ördek ördek canlısını kullanan bir Cobalt Strike işaretçisidir.[.]C&C sunucusu olarak en üstte.”