FoundCore Malware

Uma nova campanha de ataque direcionado conduzida por um grupo APT (Advanced Persistent Threat) com prováveis laços com a China foi descoberta. Acredita-se que os hackers responsáveis pela operação pertençam ao grupo Cycldek (também conhecido como Goblin Panda, APT 27 e Conimes), que está ativo desde pelo menos 2013. A operação parece estar localizada, sendo a maioria dos alvos observados do Vietnã, seguido por vítimas da Ásia Central e da Tailândia. A maioria das entidades atacadas atuava nos setores governamental e militar, mas também foram observadas vítimas nos setores da diplomacia, saúde e educação.

O ponto crucial da operação é a entrega de um novo Trojan de Acesso Remoto de espionagem (RAT), denominado FoundCore. A ameaça dá aos invasores controle quase total sobre o sistema comprometido. Ele pode manipular o sistema de arquivos, iniciar/parar processos, fazer capturas de tela ou executar comandos arbitrários. Quando o FoundCore é iniciado, ele cria quatro threads prejudiciais diferentes, cada um responsável por uma tarefa diferente. O primeiro estabeleceu um mecanismo de persistência para a ameaça no sistema comprometido. O segundo modifica certas informações - a descrição do serviço, seus campos ImagePath e DisplayName, para torná-la mais discreta. Em seguida, o terceiro thread restringirá o acesso aos arquivos corrompidos subjacentes, configurando uma Lista de Controle de Acesso Discricionário (DACL) vazia para a imagem associada ao processo atual. O thread final do FoundCore Malware tem a tarefa de estabelecer a comunicação com o servidor C2.

Como parte da cadeia de infecção, o FoundCore entregou duas peças auxiliares de spyware. O primeiro, o DropPhone, que é capaz de coletar várias informações do sistema da máquina infectada e exfiltrá-las para o DropBox. A segunda carga de malware foi o CoreLoader, uma ameaça que executa código, projetado para tornar o malware principal mais difícil de ser detectado pelos produtos de segurança.