FoundCore Malware

En ny målrettet angrebskampagne udført af en APT-gruppe (Advanced Persistent Threat) med sandsynlige bånd til Kina er blevet afdækket. Det menes, at hackerne, der er ansvarlige for operationen, tilhører Cycldek-gruppen (aka Goblin Panda, APT 27 og Conimes), der har været aktiv siden mindst 2013. Operationen ser ud til at være lokaliseret, hvor de fleste af de observerede mål er fra Vietnam, efterfulgt af ofre fra Centralasien og Thailand. De fleste af de angrebne enheder fungerede i regerings- og militærsektoren, men ofre blev også observeret i diplomati-, sundheds- og uddannelsessektoren.

Kernen i operationen er leveringen af en ny spionage-fjernadgang Trojan (RAT) ved navn FoundCore. Truslen giver angriberne næsten fuld kontrol over det kompromitterede system. Det kan manipulere filsystemet, starte / stoppe processer, tage skærmbilleder eller udføre vilkårlige kommandoer. Når FoundCore startes, opretter det fire forskellige skadelige tråde, der hver er ansvarlige for en anden opgave. Den første etablerede en persistensmekanisme for truslen på det kompromitterede system. Den anden ændrer visse oplysninger - beskrivelsen af tjenesten, dens ImagePath- og DisplayName-felter for at få den til at fremstå mere iøjnefaldende. Derefter vil den tredje tråd begrænse adgangen til de underliggende beskadigede filer ved at oprette en tom Discretionary Access Control List (DACL) til det billede, der er knyttet til den aktuelle proces. Den sidste tråd i FoundCore Malware har til opgave at etablere kommunikation med C2-serveren.

Som en del af infektionskæden leverede FoundCore to hjælpestykker spyware. Den første, DropPhone, er i stand til at indsamle forskellige systemoplysninger fra den inficerede maskine og exfiltrere den til DropBox. Den anden malware-nyttelast var CoreLoader, en trussel, der udfører kode designet til at gøre den vigtigste malware sværere til detektion af sikkerhedsprodukter.