Kínai kiberkémkedési kampány a félvezetőiparban
Az EclecticIQ elemzői egy kiberkémkedési kampányt azonosítottak, amelyben a fenyegetési szereplők a HyperBro loader egy változatát használták Taiwan Semiconductor Manufacturing (TSMC) csalival. Ez valószínűleg a mandarin/kínai nyelvet beszélő kelet-ázsiai régiók (Tajvan, Hongkong, Szingapúr) félvezetőiparát célozta meg. Az operatív taktikák, technikák és eljárások (TTP-k) átfedésben vannak a korábban bejelentett, a Kínai Népköztársaság (KNK) által támogatott kiberkémkedő csoportnak tulajdonított tevékenységekkel. A HyperBro betöltőváltozat egy digitálisan aláírt CyberArk bináris fájlt használ DLL-oldali betöltésre, ami egy Cobalt Strike beacon memórián belüli végrehajtását eredményezi. A beacon-t pivotizálva az EclecticIQ elemzői azonosítottak egy korábban nem dokumentált rosszindulatú kártevő letöltőt. Ez a letöltő a PowerShell BitsTransfer modulját használja a rosszindulatú bináris programok letöltésére egy nagy valószínűséggel kompromittált Cobra DocGuard szerverről. A rosszindulatú szoftver letöltője DLL Side-Loading technikát alkalmaz egy aláírt McAfee bináris program, az mcods.exe segítségével a Cobalt Strike shellcode futtatására. Az elemzők azonosították, hogy a shellcode ugyanazt a Cobalt Strike C2 szervert használta, amely a HyperBro betöltő változathoz kapcsolódik.