[新聞] 中國駭客假借台積電的名義對半導體產業散布Cobalt Strike

看板Gossiping作者hellspeak時間8月前 (2023/10/07 20:42)推噓1(3推 2噓 5→)

留言10則, 6人參與討論串1/1

中國駭客假借台積電的名義對半導體產業散布Cobalt Strike ithome 文/周峻佑 | 2023-10-06發表 https://www.ithome.com.tw/news/159184 https://imgur.com/J6RRZJM

台積電是臺灣護國神山，帶動了半導體相關的供應鏈堀起，一舉一動也受到全球矚目，然而，最近有人打著該公司的名號，意圖滲透半導體相關產業的廠商。資安業者EclecticIQ揭露針對臺灣、香港、新加坡半導體公司的攻擊行動，駭客疑似透過釣魚郵件，寄送聲稱是台灣積體電路製造公司（台積電）的簡介PDF檔案，一旦收信人開啟該文件，電腦就會啟動名為HyperBro的惡意程式載入工具，該軟體透過資安業者 CyberArk應用程式的執行檔vfhost.exe，進行DLL側載（DLL Side-loading），然後於記憶體內（In-memory）執行Cobalt Strike的Beacon元件 https://imgur.com/4pG4dWI

研究人員針對該Beacon元件進行分析，他們發現駭客利用過往未被揭露的惡意程式下載工具進行滲透。基本上，這個工具透過Windows內建的PowerShell及BitsTransfer模組，從已被入侵的中國億賽通（EsafeNet）Cobra DocGuard加解密伺服器取得惡意程式，接下來，這個程式安裝啟動之後，會利用另一家資安業者McAfee簽章的可執行檔mcods.exe，運用DLL側載手法執行Cobalt Strike的Shell Code，而該Shell Code連線的C2伺服器IP位址，與HyperBro相同。 https://imgur.com/5Laqozz

此外，上述的加解密伺服器也被植入以Go程式語言打造的後門程式ChargeWeapon，使得攻擊者能藉此取得受害電腦資訊。這個後門程式具備5項主要特性，分別是使用Windows內建的命令列介面（CLI）與遠端裝置互動、執行WMI、與C2連線流量採用Base64演算法混淆、採用TCP over HTTP連線模式，且能夠在受害電腦任意讀取或寫入檔案。研究人員指出，駭客在該後門程式導入名為garble的開源混淆工具，他們在公布調查結果的時候，惡意程式偵測平臺VirusTotal僅有4款防毒引擎將其視為惡意程式。特別的是，為了繞過防火牆系統，駭客將C2伺服器偽裝成jQuery CDN。而根據攻擊者使用的手法，研究人員推測是來自中國的駭客。 https://imgur.com/md5OJJF

研究人員針對這起攻擊行動所採用的HyperBro進行分析，發現駭客採用的變種程式攻擊行動更為隱密。他們發現，駭客藉由DLL側載來成功執行HyperBro的載入程式VFTRACE.dll之後，該程式庫檔案將會針對名為bin.config的檔案進行解密，該組態檔案內含由XOR演算法進行加密的Cobalt Strike的Shell Code。成功完成解密後，此Shell Code就會載入 vfhost.exe。值得一提的是，駭客加密Shell Code的手法，與一般的攻擊行動有所不同，他們的解密過程當中，使用了只有1個位元組長度的金鑰（0x01），目的是要規避以特徵碼為基礎的惡意程式偵測機制。換言之，攻擊者採用了相當簡單的混淆手法，使得防毒軟體偵測的成功率極低。針對另一個從Cobra DocGuard加解密伺服器傳輸的惡意程式，研究人員發現與HyperBro有多項共通點，包含都是利用資安業者的可執行檔進行DLL側載的方式執行、C2的IP位址相同，以及從bin.config解密Cobalt Strike的Shell Code來建立C2連線。但不同的地方在於，新的惡意軟體攻擊行動裡，駭客採用的解密金鑰長度是16個位元組，再者，此惡意程式採用未記載的NTAPI功能，而非像HyperBro使用常見的Windows API功能。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 150.117.23.95 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1696682529.A.1D4.html

推

qsgjnmvb

10/07 20:44, 8月前 , 1^F

10/07 20:44, 1^F

推

jW72

10/07 20:47, 8月前 , 2^F

10/07 20:47, 2^F

推

plbroum88

10/07 20:47, 8月前 , 3^F

10/07 20:47, 3^F