Хакеры, связанные с Китаем, активизировали кибершпионаж против тайваньской полупроводниковой промышленности и финансовых аналитиков, проводя скоординированные атаки в период с марта по июнь 2025 года, причем некоторые операции продолжаются до сих пор. Агентство Reuters сообщает, что компания Proofpoint, занимающаяся кибербезопасностью, приписывает эту деятельность по крайней мере трем ранее не задокументированным группам, связанным с Китаем: UNK_FistBump, UNK_DropPitch и UNK_SparkyCarp, в то время как четвертая группа, UNK_ColtCentury (также известная как TAG-100 или Storm-2077), пыталась завоевать доверие своих целей, прежде чем развернуть троян удаленного доступа (RAT), известный как Spark.
Считается, что эти атаки являются частью долгосрочных усилий Пекина по достижению самодостаточности в области полупроводников, вызванных экспортными ограничениями США и доминированием Тайваня в производстве передовых микросхем. Хакеры сосредоточились на организациях, занимающихся проектированием, производством, тестированием и поставками полупроводников, а также на инвестиционных аналитиках, отслеживающих сектор полупроводников Тайваня.
По оценкам Proofpoint, целью атак стали от 15 до 20 организаций, от средних предприятий до крупных глобальных компаний, а также аналитики по крайней мере одного международного банка со штаб-квартирой в США. Хотя крупные тайваньские производители микросхем, включая TSMC, MediaTek, UMC, Nanya и RealTek, отказались от комментариев или не ответили на них, Reuters не удалось подтвердить, какие компании подверглись взлому и были ли атаки успешными. Группа утверждает, что во всех случаях мотивом «скорее всего был шпионаж».
В ходе кампаний использовались различные тактики. UNK_FistBump осуществляла атаки с помощью целевого фишинга с взломанных учетных записей электронной почты тайваньских университетов, выдавая себя за соискателей работы и прикрепляя вредоносные файлы, замаскированные под резюме в формате PDF. Открытие этих файлов запускало развертывание маяков Cobalt Strike или настраиваемого бэкдора на основе C, известного как Voldemort, который ранее был связан с атаками на более чем 70 организаций по всему миру. UNK_DropPitch, с другой стороны, сосредоточился на финансовых аналитиках крупных инвестиционных компаний, выдавая себя за сотрудников поддельной инвестиционной компании и доставляя вредоносные ссылки в формате PDF, которые загружали ZIP-архивы с DLL-нагрузкой.
Эти вредоносные DLL-файлы, запускаемые с помощью уловки боковой загрузки, устанавливали бэкдор HealthKick или открывали обратное соединение с серверами, контролируемыми хакерами, такими как 45.141.139[.]222. UNK_SparkyCarp, напротив, использовал другую тактику, отправляя поддельные электронные письма о безопасности учетной записи, которые приводили жертв на фишинговые сайты, такие как accshieldportal[.]com, с помощью специального инструмента для перехвата и кражи учетных данных. Самый старый трюк в книге.
TeamT5, тайваньская компания по кибербезопасности, сообщила о росте числа угроз, направленных по электронной почте на тайваньскую полупроводниковую промышленность. По данным Reuters, компания отметила, что злоумышленники часто используют более слабую защиту небольших поставщиков и смежных отраслей, чтобы закрепиться. Например, в июне группа, связанная с Китаем, известная как Amoeba, запустила фишинговую кампанию против химической компании, имеющей важное значение для цепочки поставок полупроводников.
Эта стратегия, направленная на периферийные (второстепенные) секторы, такие как сырье, логистика или консалтинг, подчеркивает более широкие усилия по подрыву цепочки поставок путем использования ее менее защищенных звеньев.
Масштаб и размах этих кампаний подчеркивают растущую геополитическую напряженность вокруг доминирования Тайваня в сфере полупроводников. Исследователи Proofpoint, в том числе эксперт по угрозам Марк Келли, предупреждают, что теперь в поле зрения попадают организации, которые ранее не были в центре внимания. В конце 2023 года было обнаружено, что группа Chimera взломала европейскую компанию NXP — крупнейшего производителя микросхем на континенте — и оставалась незамеченной более двух лет, похитив конфиденциальную интеллектуальную собственность в области проектирования микросхем.
Келли отметил, что иногда злоумышленники отправляли всего одно или два целенаправленных электронных письма, в то время как в других кампаниях для проникновения в целые организации использовалось до 80 электронных писем.
Оригинал
Уникальность
