Threat Database Advanced Persistent Threat (APT) گروه جنایی جوجه های طلایی

گروه جنایی جوجه های طلایی

Golden Chickens نامی است که به یک گروه هکر جنایتکار اختصاص داده شده است که توانسته خود را به عنوان یک ارائه دهنده برجسته تهدیدات بدافزار در یک طرح MaaS (بدافزار به عنوان یک سرویس) معرفی کند. اثربخشی ابزارهای مخرب و زیرساخت فرماندهی و کنترل (C2, C&C) توانسته است حتی گروه‌های APT (تهدید مداوم پیشرفته) را به عنوان مشتریان خود جذب کند. جوجه‌های طلایی خدمات خود را در انجمن‌های زیرزمینی ارائه می‌کنند و زرادخانه آنها شامل دو کیت ساختمانی به نام‌های Venom و Taurus و همچنین یک تهدید تروجان درب پشتی پیچیده به نام more_eggs (Terra Loader، SpicyOmelette) است.

محصولات مخرب جوجه های طلایی

اولین کیت سازنده ارائه شده توسط جوجه های طلایی VenomKit است. این ابزار تخصصی است که به عوامل تهدید اجازه می دهد تا اسناد مخرب فایل متنی غنی (RTF) را ایجاد کنند. چندین آسیب‌پذیری مختلف را می‌توان به‌عنوان نقطه نفوذ در سیستم رایانه هدف مورد سوء استفاده قرار داد، از جمله CVE-2018-8174، CVE-2017-11882، و CVE-2018-0802. مرحله دوم را می توان از یک منبع وب از طریق فایل های دسته ای و اسکریپت بارگیری کرد.

سازنده دوم Taurus Builder Kit نام دارد. برای ایجاد اسناد MS Word که حاوی کدهای ماکرو مخرب VBA (Visual Basic for Application) هستند استفاده می شود. استفاده از این روش شانس بیشتری برای جلوگیری از شناسایی توسط راه حل های ضد بدافزار ارائه می دهد، اما برای فعال کردن کد مخرب به تعامل با قربانی نیاز دارد. کد VBA می تواند با بهره برداری از ابزارهای قانونی ویندوز، بارهای بدافزار اضافی را دانلود و اجرا کند. در پشتی more_eggs یک تهدید پیچیده است که در عملیات چندین گروه APT مانند Evilnum ، FIN6 و Cobalt Group به کار گرفته شده است . در هسته خود، more_eggs یک درب پشتی جاوا اسکریپت است که قادر به ارسال یک چراغ به سرور C2 و دریافت بارهای بدافزار مرحله نهایی اضافی است که از یک منبع وب خارجی دانلود شده است. More_eggs دارای چندین ویژگی است که می توان آنها را مطابق با خواسته های مشتری سفارشی کرد، مانند سرور C2، تایمرهای بیکن و خواب و غیره.

پرطرفدار

پربیننده ترین

بارگذاری...