- Proofpoint viu Unk_fistbump, Unk_droppitch e Unk_sparkyCarp envolventes em phishing de lança
- Os grupos estavam tentando implantar diferentes backdoors e malware
- A campanha faz parte de um esforço mais amplo para “alcançar os especialistas de auto-suficiência de semicondutores”
Vários atores de ameaças patrocinados pelo Estado chineses coordenam ataques à indústria de semicondutores de Taiwan, atingindo empresas de fabricação, cadeia de suprimentos e análise de investimentos financeiros em todo o país.
Isso está de acordo com os pesquisadores de segurança cibernética Proofpoint, que afirmam ter observado pelo menos três grupos diferentes participando da campanha.
Os grupos são rastreados como UNK_FISTBUMP, UNK_DROPPITCH e UNK_SPARKYCARP. Às vezes, diferentes fornecedores de segurança rotulam os mesmos grupos de maneira diferente, mas estes parecem ser novos participantes no mundo cibernético.
Um quarto jogador
Suas táticas, técnicas e procedimentos (TTP) são um pouco diferentes do que foi observado no passado, levando os pesquisadores a acreditar que esses são novos grupos.
Os ataques ocorreram entre março e junho deste ano e direcionaram “organizações envolvidas na fabricação, design e teste de semicondutores e circuitos integrados, entidades mais amplas da cadeia de suprimentos de equipamentos e serviços nesse setor, além de analistas de investimentos financeiros especializados no mercado de semicondutores de Taiwan”.
Os grupos usam diferentes ferramentas e táticas. Na maioria das vezes, o contato inicial é alcançado por meio de e -mails de phishing, mas o malware e a maneira como é entregue varia de grupo para grupo. Entre as ferramentas usadas nesta campanha estão o Cobalt Strike, Voldemort (um backdoor personalizado baseado em C) e Healthkick (um backdoor que pode executar comandos), entre outros.
O ProofPoint também mencionou um quarto grupo, chamado UNK_COLTCURCURY (também conhecido como TAG-100 e Storm-2077), que tentou criar relacionamento com suas vítimas antes de tentar infectá-las com malware. Este grupo estava procurando implantar um Trojan de acesso remoto (rato) chamado Spark.
“Essa atividade provavelmente reflete a prioridade estratégica da China para alcançar a auto-suficiência de semicondutores e diminuir a dependência de cadeias de suprimentos e tecnologias internacionais, particularmente à luz dos controles de exportação dos EUA e de Taiwan”, explicaram os pesquisadores.
“Esses atores emergentes de ameaças continuam a exibir padrões de direcionamento de longa data consistentes com os interesses estatais chineses, bem como os TTPs e os recursos personalizados historicamente associados às operações de espionagem cibernética alinhadas à China”.
A China está vocal sobre “recuperar” Taiwan há anos e, em várias ocasiões, conduziu exercícios militares nas proximidades da nação insular.
Via The Hacker News
Fique conectado