Bezpečnostní společnost Proofpoint odhalila spear-phishingové kampaně tří dosud nezdokumentovaných čínských skupin – UNK_FistBump, UNK_DropPitch a UNK_SparkyCarp – zaměřené na taiwanský polovodičový průmysl. Cílem byly firmy zabývající se výrobou, návrhem a testováním čipů, dodavatelský řetězec i investiční analytici.

UNK_FistBump doručovala Cobalt Strike nebo vlastní backdoor „Voldemort“ maskovaný v životopisech zasílaných personálním oddělením. Útoky napodobovaly běžnou komunikaci a využívaly pevně zakódovanou IP pro řízení.

UNK_DropPitch se zaměřila na investiční firmy, kdy po kliknutí na odkaz oběť stáhla ZIP s DLL, spouštěnou metodou side-loading. Backdoor „HealthKick“ umožňoval exfiltraci dat a vytvoření reverzního shellu. Analýza odhalila použití SoftEther VPN a infrastruktury spojované s čínskou kyberšpionáží.

UNK_SparkyCarp provedla phishing na přihlašovací údaje jedné polovodičové firmy s využitím nástroje adversary-in-the-middle.

Proofpoint uvádí, že zasaženo bylo 15–20 organizací, ale bez potvrzené kompromitace. Útoky podle firmy souvisí se snahou Číny o soběstačnost v oblasti polovodičů v reakci na exportní omezení USA a Tchaj-wanu.

Zpráva také zmiňuje skupinu Salt Typhoon, která pronikla do sítě jedné jednotky Národní gardy USA a neodhalena zde působila devět měsíců. Získala přístup k administrátorským údajům, síťovým plánům i osobním datům členů gardy. Průnik byl umožněn zneužitím známých zranitelností v zařízeních Cisco a Palo Alto Networks.

Bezpečnostní experti varují, že dlouhodobá neodhalená přítomnost APT skupin ukazuje na slabiny v detekci a segmentaci hybridních sítí.

Zdroj: The Hacker News