קבוצת תרנגולות זהב פלילית

Golden Chickens הוא השם שניתן לקבוצת האקרים פלילית שהצליחה לבסס את עצמה כספקית בולטת של איומי תוכנות זדוניות בתוכנית MaaS (Malware-as-a-Service). האפקטיביות של הכלים הזדוניים ותשתית ה-Command-and-Control (C2, C&C) שלהם הצליחה למשוך אפילו קבוצות APT (Advanced Persistent Threat) כלקוחותיהם. Golden Chickens מציעים את שירותיהם בפורומים מחתרתיים והארסנל שלהם כולל שתי ערכות בנייה בשם ארס ושור וכן איום טרויאני מתוחכם בדלת האחורית בשם more_eggs (Terra Loader, SpicyOmelette).

מוצרים זדוניים של תרנגולות הזהב

ערכת הבנייה הראשונה שמציעה Golden Chickens היא VenomKit. זהו כלי מיוחד המאפשר לשחקני איומים ליצור מסמכים זדוניים של קובץ Rich Text (RTF) מותאמים אישית. ניתן לנצל מספר פגיעויות שונות כנקודת פריצה למערכת המחשב של היעד, כולל CVE-2018-8174, CVE-2017-11882 ו-CVE-2018-0802. ניתן להוריד את מטען השלב השני ממשאב אינטרנט דרך קבצי אצווה ו-scriptlet.

הבנאי השני נקרא Taurus Builder Kit. הוא משמש ליצירת מסמכי MS Word הנושאים קוד מאקרו זדוני VBA (Visual Basic for Application). שימוש בשיטה זו מציע סיכוי גבוה יותר להימנע מזיהוי על ידי פתרונות נגד תוכנות זדוניות, אך הוא דורש אינטראקציה מהקורבן על מנת לאפשר את הקוד הזדוני. קוד VBA מסוגל להוריד ולהפעיל עומסי תוכנה זדונית נוספים על ידי ניצול כלי Windows לגיטימיים. הדלת האחורית more_eggs היא איום מתוחכם שהופעל בפעולות של מספר קבוצות APT כגון Evilnum , FIN6 ו- Cobalt Group . בבסיסו, more_eggs היא דלת אחורית של JavaScript המסוגלת לשלוח מגדלור לשרת C2 ולהביא מטענים נוספים של תוכנות זדוניות בשלב סופי שהורדו ממשאב אינטרנט חיצוני. ל-More_eggs מספר תכונות הניתנות להתאמה אישית לפי רצונות הלקוח כמו שרת C2, טיימרים משואה ושינה ועוד.