Преступная группа «Золотые цыплята»
Golden Chickens — это название, присвоенное преступной хакерской группе, которая сумела зарекомендовать себя как известный поставщик вредоносных программ по схеме MaaS (Malware-as-a-Service). Эффективность их вредоносных инструментов и инфраструктуры Command-and-Control (C2, C&C) позволила привлечь в качестве клиентов даже группы APT (Advanced Persistent Threat). Golden Chickens предлагают свои услуги на подпольных форумах, а в их арсенале есть два строительных набора Venom и Taurus, а также сложная троянская угроза-бэкдор под названием more_eggs (Terra Loader, SpicyOmelette).
Вредоносные продукты Golden Chickens
Первый набор для сборки, предлагаемый Golden Chickens, называется VenomKit. Это специализированный инструмент, который позволяет злоумышленникам создавать собственные вредоносные документы Rich Text File (RTF). В качестве точки проникновения в компьютерную систему цели можно использовать несколько различных уязвимостей, включая CVE-2018-8174, CVE-2017-11882 и CVE-2018-0802. Полезную нагрузку второго этапа можно загрузить с веб-ресурса с помощью пакетных файлов и файлов скриптлетов.
Второй конструктор называется Taurus Builder Kit. Он используется для создания документов MS Word, содержащих вредоносный макрокод VBA (Visual Basic for Application). Использование этого метода дает больше шансов избежать обнаружения решениями для защиты от вредоносных программ, но требует взаимодействия со стороны жертвы, чтобы активировать вредоносный код. Код VBA способен загружать и выполнять дополнительные вредоносные программы, используя легитимные инструменты Windows. Бэкдор more_eggs — это сложная угроза, которая использовалась в операциях нескольких групп APT, таких как Evilnum , FIN6 и Cobalt Group . По своей сути more_eggs — это бэкдор JavaScript, способный отправлять сигнал- маяк на сервер C2 и извлекать дополнительные вредоносные полезные нагрузки конечной стадии, загруженные с внешнего веб-ресурса. More_eggs имеет несколько атрибутов, которые можно настроить в соответствии с пожеланиями клиента, таких как сервер C2, маяк и таймеры сна и многое другое.
