Злочиначка група Златни кокоши

Голден Цхицкенс је име додељено криминалној хакерској групи која је успела да се успостави као истакнути провајдер претњи малвера у МааС (Малваре-ас-а-Сервице) шеми. Ефикасност њихових злонамерних алата и инфраструктуре за команду и контролу (Ц2, Ц&Ц) успела је да привуче чак и АПТ (Адванцед Персистент Тхреат) групе као своје клијенте. Голден Цхицкенс нуде своје услуге на подземним форумима и њихов арсенал укључује два комплета за изградњу по имену Веном и Таурус, као и софистицирану бекдор тројанску претњу под називом море_еггс (Терра Лоадер, СпициОмелетте).

Злонамерни производи Голден Цхицкенс-а

Први комплет за изградњу који нуди Голден Цхицкенс је ВеномКит. То је специјализована алатка која омогућава актерима претњи да направе прилагођене злонамерне документе обогаћеног текста (РТФ). Неколико различитих рањивости се може искористити као тачка пробоја у рачунарски систем мете, укључујући ЦВЕ-2018-8174, ЦВЕ-2017-11882 и ЦВЕ-2018-0802. Корисно оптерећење друге фазе може се преузети са веб ресурса преко пакетних датотека и датотека скриптлета.

Други градитељ се зове Таурус Буилдер Кит. Користи се за креирање МС Ворд докумената који носе злонамерни ВБА (Висуал Басиц фор Апплицатион) макро код. Коришћење ове методе нуди веће шансе да се избегне откривање од стране анти-малвер решења, али захтева интеракцију жртве да би се омогућио злонамерни код. ВБА код је способан да преузме и изврши додатне садржаје злонамерног софтвера коришћењем легитимних Виндовс алата. Море_еггс бацкдоор је софистицирана претња која је коришћена у операцијама више АПТ група као што су Евилнум , ФИН6 и Цобалт Гроуп . У својој сржи, море_еггс је ЈаваСцрипт бацкдоор способан да пошаље беацон на Ц2 сервер и дохвати додатне садржаје злонамерног софтвера у завршној фази преузете са спољног веб ресурса. Море_еггс има неколико атрибута који се могу прилагодити према жељама клијента, као што су Ц2 сервер, светионик и тајмери за спавање и још много тога.