Главная страница » Индикаторы компрометации
0
2 дня
Индикаторы компрометации

Китайские хакеры активизируют шпионские атаки на тайваньскую полупроводниковую промышленность

APT

С марта по июнь 2025 года эксперты Proofpoint Threat Research зафиксировали серию целенаправленных фишинговых кампаний, проводимых китайскими государственными хакерскими группами против тайваньских компаний, занятых в полупроводниковой отрасли. Основной целью атак стал промышленный шпионаж, что соответствует стратегическим приоритетам Китая в области технологической независимости.

Описание

Целями злоумышленников стали предприятия, занимающиеся проектированием, производством и тестированием полупроводников, а также поставщики оборудования и услуг для этой отрасли. Кроме того, атакам подверглись аналитики финансовых рынков, специализирующиеся на тайваньском полупроводниковом секторе. Это указывает на комплексный подход китайских спецслужб к сбору данных, охватывающий не только технологические, но и финансовые аспекты отрасли.

Китайская сторона уже давно проявляет повышенный интерес к полупроводниковой промышленности Тайваня, что связано с глобальной стратегией КНР по снижению зависимости от иностранных технологий. Особенно активно эта тенденция усилилась после введения США и Тайванем экспортных ограничений на высокотехнологичную продукцию.

В ходе наблюдений эксперты Proofpoint выделили три основные хакерские группы, действующие под эгидой китайского государства. Первая из них, получившая условное обозначение UNK_FistBump, проводила фишинговые атаки, маскируя письма под запросы о трудоустройстве. Злоумышленники использовали скомпрометированные аккаунты тайваньских университетов, отправляя письма сотрудникам HR-отделов. Вложения содержали вредоносные файлы, которые после открытия запускали бекдоры Cobalt Strike или Voldemort.

Особенностью этих атак стало использование сложных схем заражения, включавших несколько этапов. Например, один архив мог содержать два независимых вредоносных сценария, каждый из которых активировался отдельно. Для обхода защитных механизмов применялась техника DLL-подмены, при которой злоумышленники использовали уязвимости в легитимных программах для загрузки вредоносного кода.

Вторая группа, UNK_DropPitch, сосредоточилась на атаках против аналитиков инвестиционных компаний. Фишинговые письма выдавались за предложения о сотрудничестве от имени вымышленных финансовых организаций. Вредоносные вложения содержали простые бекдоры, такие как HealthKick, а также использовали инструменты удаленного администрирования, такие как Intel Endpoint Management Assistant (EMA).

Интересной деталью стало использование инфраструктуры, связанной с российским хостинг-провайдером ProfitServer, что может свидетельствовать о попытках маскировки происхождения атак. Кроме того, злоумышленники допускали ошибки при ручном вводе команд, что указывает на отсутствие полной автоматизации процессов взлома.

Третья группа, UNK_SparkyCarp, применяла фишинговые схемы с поддельными страницами входа, чтобы похищать учетные данные сотрудников. Этот метод, известный как Adversary-in-the-Middle (AiTM), позволяет перехватывать данные в реальном времени, что значительно повышает эффективность атак.

В целом, наблюдаемая активность подтверждает стратегический интерес Китая к тайваньским полупроводниковым технологиям. Учитывая текущие геополитические тренды, можно ожидать дальнейшего усиления кибершпионской активности в этом направлении. Компаниям, работающим в данной сфере, рекомендуется усилить защиту корпоративной почты, обучить сотрудников распознаванию фишинговых атак и внедрить системы мониторинга подозрительной активности.

Эксперты также отмечают, что китайские хакеры активно заимствуют инструменты и тактики друг у друга, что усложняет их обнаружение. В частности, использование бекдора Voldemort, ранее ассоциировавшегося с группой TA415, в кампаниях UNK_FistBump говорит о возможном обмене технологиями между разными киберподразделениями.

В свете этих событий тайваньским властям и компаниям полупроводникового сектора необходимо пересмотреть свои подходы к кибербезопасности, чтобы минимизировать риски утечки критически важных данных. Учитывая стратегическое значение полупроводников для мировой экономики, подобные атаки будут только нарастать, требуя ответных мер как на государственном, так и на корпоративном уровне.

Индикаторы компрометации

IPv4

  • 166.88.61.35
  • 45.141.139.222
  • 80.85.154.48
  • 80.85.156.234
  • 80.85.156.237
  • 82.118.16.72

Domains

  • accshieldportal.com
  • acesportal.com
  • ema.moctw.info
  • moctw.info
  • www.twmoc.info

URLs

  • https://3008.filemail.com/api/file/get?filekey=DeHjMusPPgDt5EsWxOcgYCfRh5yI6MIIg7vvwn9yFEzh93Cts5UxrfXMYEPiMWffVCp36UCsVgYSlC47WGdjHZ7m9bAw0QWcgqQZcg&pk_vid=007318ac7ca53d8717482475404ed5a2
  • https://acesportal.com/T/bfzWhb
  • https://acesportal.com/T/KRfzAH
  • https://api.moctw.info/Document-2025.4.25.pdf
  • https://api.moctw.info/Install.zip
  • https://api.moctw.info/Intro.pdf
  • https://aqrm.accshieldportal.com/v2/account/validate/?vid=35f46f46
  • https://brilliant-bubblegum-137cfe.netlify.app/files/Introduction%20Document.zip
  • https://sheets.googleapis.com:443/v4/spreadsheets/14H0Gm6xgc2p3gpIB5saDyzSDqpVMKGBKIdkVGh2y1bo
  • https://sheets.googleapis.com:443/v4/spreadsheets/1z8ykHVYh9DF-b_BFDA9c4Q2ojfrgl-fq1v797Y5576Y
  • https://ttot.accshieldportal.com/v3/ls/click/?c=b5c64761

Emails

  • amelia_w_chavez@proton.me
  • john.doe89e@gmail.com
  • lisan_0818@outlook.com
  • lonelyboymaoxcz231@proton.me
  • menglunwuluegg226@proton.me

SHA256

  • 084b92365a25e6cd5fc43efe522e5678a2f1e307bf69dd9a61eb37f81f304cc6
  • 0d992762c69d624a1f14a8a230f8a7d36d190b49e787fd146e9010e943c5ef78
  • 1016ba708fb21385b12183b3430b64df10a8a1af8355b27dd523d99ca878ffbb
  • 13fad7c6d0accb9e0211a7b26849cf96c333cf6dfa21b40b65a7582b79110e4b
  • 1a2530010ecb11f0ce562c0db0380416a10106e924335258ccbba0071a19c852
  • 338f072cc1e08f1ed094d88aa398472e3f04a8841be2ff70f1c7a2e4476d8ef7
  • 366d7de8a941daa6a303dc3e39af60b2ffacaa61d5c1fb84dd1595a636439737
  • 4ee77f1261bb3ad1d9d7114474a8809929f4a0e7f9672b19048e1b6ac7acb15c
  • 7bffd21315e324ef7d6c4401d1bf955817370b65ae57736b20ced2c5c08b9814
  • 82ecfe0ada6f7c0cea78bca2e8234241f1a1b8670b5b970df5e2ee255c3a56ef
  • 85e4809e80e20d9a532267b22d7f898009e74ed0dbf7093bfa9a8d2d5403f3f9
  • 9b2cbcf2e0124d79130c4049f7b502246510ab681a3a84224b78613ef322bc79
  • bab8618bc6fc3fdfa7870b5fe0f52b570fabf0243d066f410a7e76ebeed0088c
  • bbdad59db64c48f0a9eb3e8f2600314b0e3ebd200e72fa96bf5a84dd29d64ac5
  • cd009ea4c682b61963210cee16ed663eee20c91dd56483d456e03726e09c89a7
  • d3a71c6b7f4be856e0cd66b7c67ca0c8eef250bc737a648032d9d67c2c37d911
  • d51c195b698c411353b10d5b1795cbc06040b663318e220a2d121727c0bb4e43
  • d783c40c0e15b73b62f28d611f7990793b7e5ba2436e203000a22161e0a00d0e
  • ec5fef700d1ed06285af1f2d01fa3db5ea924de3c2da2f0e6b7a534f69d8409c
  • fc8f7185a90af4bf44332e85872aa7c190949e3ec70055a38af57690b6604e3c
  • ffd69146c5b02305ac74c514cab28d5211a473a6c28d7366732fdc4797425288
Комментарии: 0
Похожие записи
0
27.11.2024
Индикаторы компрометации

MuddyWater (TA450) APT IOCs - Part 7

security
Sophos MDR обнаружил новую кампанию, отслеживаемую как STAC 1171. Исследователи Sophos с умеренной уверенностью полагают, что эта активность связана с иранским злоумышленником, известным как MuddyWater (aka TA450, Mango Sandstorm).
0
10.06.2025
Индикаторы компрометации

Иранская хакерская группа использует генеративный ИИ для создания вредоносных PDF-документов

APT
Исследователи из Palo Alto обнаружили, что иранская хакерская группировка Agent Serpens, также известная как Charming Kitten, вероятно, использует генеративный искусственный интеллект для создания поддельных PDF-документов.