FoundCore Malware

Odkryto nową kampanię ataków ukierunkowanych przeprowadzoną przez grupę APT (Advanced Persistent Threat) mającą prawdopodobne powiązania z Chinami. Uważa się, że hakerzy odpowiedzialni za operację należą do grupy Cycldek (aka Goblin Panda, APT 27 i Conimes), która działa co najmniej od 2013 roku. Wydaje się, że operacja jest zlokalizowana, a większość obserwowanych celów pochodzi z Wietnamu, następnie ofiary z Azji Środkowej i Tajlandii. Większość zaatakowanych podmiotów działała w sektorze rządowym i wojskowym, ale ofiary były również obserwowane w sektorach dyplomacji, opieki zdrowotnej i edukacji.

Sednem operacji jest dostarczenie nowego szpiegowskiego trojana zdalnego dostępu (RAT) o nazwie FoundCore. Zagrożenie daje atakującym niemal pełną kontrolę nad zaatakowanym systemem. Może manipulować systemem plików, uruchamiać / zatrzymywać procesy, robić zrzuty ekranu lub wykonywać dowolne polecenia. Po zainicjowaniu FoundCore tworzy cztery różne szkodliwe wątki, z których każdy jest odpowiedzialny za inne zadanie. Pierwsza z nich ustanowiła mechanizm trwałości dla zagrożenia w zaatakowanym systemie. Drugi modyfikuje pewne informacje - opis usługi, jej pola ImagePath i DisplayName, aby wyglądały bardziej niepozornie. Następnie trzeci wątek ograniczy dostęp do podstawowych uszkodzonych plików, ustawiając pustą dyskrecjonalną listę kontroli dostępu (DACL) do obrazu skojarzonego z bieżącym procesem. Ostatni wątek FoundCore Malware ma za zadanie nawiązanie komunikacji z serwerem C2.

W ramach łańcucha infekcji firma FoundCore dostarczyła dwa pomocnicze programy szpiegowskie. Pierwszy z nich, DropPhone, jest w stanie zbierać różne informacje systemowe z zainfekowanej maszyny i przenosić je do DropBox. Drugim ładunkiem szkodliwego oprogramowania był CoreLoader, zagrożenie, które wykonuje kod zaprojektowany w celu utrudnienia wykrycia głównego złośliwego oprogramowania przez produkty zabezpieczające.