FoundCore Malware
चीन द्वारा संभावित संबंधों के साथ APT (एडवांस्ड परसेंट थ्रेट) ग्रुप द्वारा किए गए एक नए लक्षित हमले अभियान को उजागर किया गया है। ऐसा माना जाता है कि ऑपरेशन के लिए जिम्मेदार हैकर्स साइक्लेडेक समूह (उर्फ गोबलिन पांडा, एपीटी 27 , और कॉन्सेम्स) से संबंधित हैं, जो कम से कम 2013 से सक्रिय हैं। यह ऑपरेशन वियतनाम से होने वाले अधिकांश अवलोकन के साथ स्थानीयकृत होता है। इसके बाद मध्य एशिया और थाईलैंड के पीड़ित आए। ज्यादातर हमले सरकार और सैन्य क्षेत्रों में हुए, लेकिन पीड़ितों को कूटनीति, स्वास्थ्य सेवा और शिक्षा क्षेत्रों में भी देखा गया।
ऑपरेशन का क्रूक्स एक नया जासूसी रिमोट एक्सेस ट्रोजन (आरएटी) है जिसका नाम फाउंडकोर है। धमकी हमलावरों को समझौता प्रणाली पर पूर्ण नियंत्रण के पास देती है। यह फ़ाइल सिस्टम में हेरफेर कर सकता है, प्रक्रियाएं शुरू / बंद कर सकता है, स्क्रीनशॉट ले सकता है, या मनमाना कमांड निष्पादित कर सकता है। जब फाउंडकोर की शुरुआत की जाती है, तो यह चार अलग-अलग हानिकारक धागे बनाता है, प्रत्येक एक अलग कार्य के लिए जिम्मेदार होता है। पहले वाले ने समझौता प्रणाली पर खतरे के लिए एक दृढ़ता तंत्र स्थापित किया। दूसरा निश्चित जानकारी को संशोधित करता है - सेवा का विवरण, इसका इमेजपैथ और डिस्प्लेनाम फ़ील्ड, इसे अधिक असंगत दिखाने के लिए। फिर, तीसरा धागा वर्तमान प्रक्रिया से जुड़ी छवि के लिए एक खाली विवेकाधीन अभिगम नियंत्रण सूची (DACL) स्थापित करके अंतर्निहित भ्रष्ट फ़ाइलों तक पहुंच को प्रतिबंधित करेगा। फाउंडकोर मैलवेयर के अंतिम धागे को C2 सर्वर के साथ संचार स्थापित करने का काम सौंपा गया है।
संक्रमण श्रृंखला के भाग के रूप में, फाउंडकोर ने स्पायवेयर के दो सहायक टुकड़े वितरित किए। पहले वाला, DropPhone, संक्रमित मशीन से विभिन्न सिस्टम की जानकारी एकत्र करने में सक्षम है और इसे ड्रॉपबॉक्स में एक्सफ़िलिएट करता है। दूसरा मालवेयर पेलोड था, CoreLoader, एक खतरा जो सुरक्षा उत्पादों द्वारा पता लगाने के लिए मुख्य मैलवेयर को कठिन बनाने के लिए डिज़ाइन किए गए कोड को निष्पादित करता है।
