FoundCore Malware

È stata scoperta una nuova campagna di attacco mirato condotta da un gruppo APT (Advanced Persistent Threat) con probabili legami con la Cina. Si ritiene che gli hacker responsabili dell'operazione appartengano al gruppo Cycldek (alias Goblin Panda, APT 27 e Conimes) attivo almeno dal 2013. L'operazione sembra essere localizzata con la maggior parte degli obiettivi osservati provenienti dal Vietnam, seguiti dalle vittime dell'Asia centrale e della Thailandia. La maggior parte delle entità attaccate operava nei settori governativo e militare, ma le vittime sono state osservate anche nei settori della diplomazia, della sanità e dell'istruzione.

Il punto cruciale dell'operazione è la consegna di un nuovo Trojan di accesso remoto per lo spionaggio (RAT) denominato FoundCore. La minaccia offre agli aggressori il controllo quasi completo del sistema compromesso. Può manipolare il file system, avviare / arrestare processi, acquisire schermate o eseguire comandi arbitrari. Quando FoundCore viene avviato, crea quattro diversi thread dannosi, ciascuno responsabile di un'attività diversa. Il primo ha stabilito un meccanismo di persistenza per la minaccia sul sistema compromesso. Il secondo modifica alcune informazioni: la Descrizione del servizio, i suoi campi ImagePath e DisplayName, per renderlo più discreto. Quindi, il terzo thread limiterà l'accesso ai file danneggiati sottostanti impostando un DACL (Discretionary Access Control List) vuoto all'immagine associata al processo corrente. Il thread finale di FoundCore Malware ha il compito di stabilire la comunicazione con il server C2.

Nell'ambito della catena delle infezioni, FoundCore ha fornito due spyware ausiliari. Il primo, DropPhone, è in grado di raccogliere varie informazioni di sistema dalla macchina infetta ed esfiltrarle su DropBox. Il secondo payload del malware era CoreLoader, una minaccia che esegue codice progettato per rendere più difficile il rilevamento del malware principale da parte dei prodotti di sicurezza.