FoundCore Malware
Een nieuwe gerichte aanvalscampagne, uitgevoerd door een APT-groep (Advanced Persistent Threat) met waarschijnlijke banden met China, is aan het licht gebracht. Aangenomen wordt dat de hackers die verantwoordelijk zijn voor de operatie behoren tot de Cycldek-groep (ook bekend als Goblin Panda, APT 27 en Conimes) die actief is sinds ten minste 2013. De operatie lijkt gelokaliseerd te zijn, waarbij de meeste waargenomen doelen afkomstig zijn uit Vietnam, gevolgd door slachtoffers uit Centraal-Azië en Thailand. De meeste aangevallen entiteiten waren actief in de regerings- en militaire sector, maar er werden ook slachtoffers waargenomen in de sectoren diplomatie, gezondheidszorg en onderwijs.
De kern van de operatie is de levering van een nieuwe spionage-trojan voor externe toegang (RAT) genaamd FoundCore. De dreiging geeft de aanvallers bijna volledige controle over het gecompromitteerde systeem. Het kan het bestandssysteem manipuleren, processen starten / stoppen, screenshots maken of willekeurige commando's uitvoeren. Wanneer FoundCore wordt gestart, worden er vier verschillende schadelijke threads gemaakt, elk verantwoordelijk voor een andere taak. De eerste stelde een persistentiemechanisme in voor de dreiging op het gecompromitteerde systeem. De tweede wijzigt bepaalde informatie - de beschrijving van de service, de velden ImagePath en DisplayName, zodat deze onopvallend lijkt. Vervolgens beperkt de derde thread de toegang tot de onderliggende beschadigde bestanden door een lege Discretionary Access Control List (DACL) op te zetten voor de afbeelding die aan het huidige proces is gekoppeld. De laatste thread van FoundCore Malware is belast met het tot stand brengen van communicatie met de C2-server.
Als onderdeel van de infectieketen leverde FoundCore twee aanvullende spyware. De eerste, DropPhone, is in staat om verschillende systeeminformatie van de geïnfecteerde machine te verzamelen en deze naar DropBox te exfiltreren. De tweede payload van malware was CoreLoader, een bedreiging die code uitvoert die is ontworpen om de belangrijkste malware moeilijker op te sporen door beveiligingsproducten.
