ក្រុមឧក្រិដ្ឋជនមាន់មាស

Golden Chickens គឺជាឈ្មោះដែលត្រូវបានចាត់ឱ្យទៅក្រុម hacker ឧក្រិដ្ឋជនដែលបានគ្រប់គ្រងដើម្បីបង្កើតខ្លួនជាអ្នកផ្តល់សេវាដ៏លេចធ្លោនៃការគំរាមកំហែងមេរោគនៅក្នុងគម្រោង MaaS (Malware-as-a-Service) ។ ប្រសិទ្ធភាពនៃឧបករណ៍ព្យាបាទរបស់ពួកគេ និងហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2, C&C) បានគ្រប់គ្រងដើម្បីទាក់ទាញសូម្បីតែក្រុម APT (Advanced Persistent Threat) ជាអតិថិជនរបស់ពួកគេ។ មាន់មាសផ្តល់ជូននូវសេវាកម្មរបស់ពួកគេនៅលើវេទិការក្រោមដី ហើយឃ្លាំងអាវុធរបស់ពួកគេរួមមានឧបករណ៍សាងសង់ពីរដែលមានឈ្មោះថា Venom និង Taurus ក៏ដូចជាការគំរាមកំហែង Trojan ដ៏ទំនើបដែលហៅថា more_eggs (Terra Loader, SpicyOmelette) ។

ផលិតផលព្យាបាទរបស់មាន់មាស

ឧបករណ៍សាងសង់ដំបូងដែលផ្តល់ដោយ Golden Chickens គឺ VenomKit ។ វាគឺជាឧបករណ៍ឯកទេសដែលអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងបង្កើតឯកសារ Rich Text File (RTF) ដែលមានគំនិតអាក្រក់ផ្ទាល់ខ្លួន។ ភាពងាយរងគ្រោះផ្សេងៗគ្នាជាច្រើនអាចត្រូវបានទាញយកជាចំណុចរំលោភចូលទៅក្នុងប្រព័ន្ធកុំព្យូទ័ររបស់គោលដៅរួមមាន CVE-2018-8174, CVE-2017-11882 និង CVE-2018-0802 ។ ដំណាក់កាលទីពីរ payload អាចទាញយកពីធនធានគេហទំព័រតាមរយៈឯកសារបាច់ និង scriptlet ។

អ្នកសាងសង់ទីពីរត្រូវបានគេហៅថា Taurus Builder Kit ។ វាត្រូវបានប្រើសម្រាប់បង្កើតឯកសារ MS Word ដែលផ្ទុកកូដម៉ាក្រូ VBA (Visual Basic for Application) ព្យាបាទ។ ការប្រើប្រាស់វិធីសាស្រ្តនេះផ្តល់នូវឱកាសខ្ពស់ក្នុងការជៀសវាងការរកឃើញដោយដំណោះស្រាយប្រឆាំងមេរោគ ប៉ុន្តែវាទាមទារឱ្យមានអន្តរកម្មពីជនរងគ្រោះ ដើម្បីបើកដំណើរការកូដព្យាបាទ។ កូដ VBA មានសមត្ថភាពទាញយក និងដំណើរការកម្មវិធីផ្ទុកមេរោគបន្ថែមដោយទាញយកឧបករណ៍ Windows ស្របច្បាប់។ More_eggs backdoor គឺជាការគំរាមកំហែងដ៏ស្មុគ្រស្មាញដែលត្រូវបានប្រើប្រាស់ក្នុងប្រតិបត្តិការនៃក្រុម APT ជាច្រើនដូចជា Evilnum , FIN6 និង Cobalt Group ។ នៅស្នូលរបស់វា more_eggs គឺជា JavaScript backdoor ដែលអាចផ្ញើ beacon ទៅកាន់ server C2 និងទាញយកកម្មវិធី malware ដំណាក់កាលចុងក្រោយបន្ថែមដែលបានទាញយកពីធនធានគេហទំព័រខាងក្រៅ។ More_eggs មានគុណលក្ខណៈជាច្រើនដែលអាចត្រូវបានប្ដូរតាមបំណងតាមការចង់បានរបស់អតិថិជនដូចជាម៉ាស៊ីនមេ C2, beacon និងកម្មវិធីកំណត់ពេលគេង និងច្រើនទៀត។