FoundCore Malware

En ny riktad attackkampanj genomförd av en APT-grupp (Advanced Persistent Threat) med sannolika band till Kina har avslöjats. Man tror att hackarna som ansvarar för operationen tillhör Cycldek-gruppen (aka Goblin Panda, APT 27 och Conimes) som har varit aktiv sedan minst 2013. Operationen verkar vara lokaliserad med de flesta av de observerade målen som kommer från Vietnam, följt av offer från Centralasien och Thailand. De flesta av de attackerade enheterna verkade inom regerings- och militärsektorn, men offren observerades också inom diplomati-, hälso- och utbildningssektorn.

Kärnan i operationen är leveransen av en ny spionage-fjärråtkomst Trojan (RAT) med namnet FoundCore. Hotet ger angriparna nästan full kontroll över det komprometterade systemet. Det kan manipulera filsystemet, starta / stoppa processer, ta skärmdumpar eller utföra godtyckliga kommandon. När FoundCore initieras skapar det fyra olika skadliga trådar, var och en ansvarig för en annan uppgift. Den första skapade en uthållighetsmekanism för hotet på det komprometterade systemet. Den andra ändrar viss information - beskrivningen av tjänsten, dess ImagePath- och DisplayName-fält, så att den verkar mer iögonfallande. Därefter begränsar den tredje tråden åtkomsten till de underliggande skadade filerna genom att ställa in en tom Diskretionär åtkomstkontrollista (DACL) till bilden som är associerad med den aktuella processen. Den sista tråden i FoundCore Malware har till uppgift att upprätta kommunikation med C2-servern.

Som en del av infektionskedjan levererade FoundCore två extra bitar spionprogram. Den första, DropPhone, kan samla in olika systeminformation från den infekterade maskinen och exfiltrera den till DropBox. Den andra nyttolasten för skadlig programvara var CoreLoader, ett hot som kör kod som är utformad för att göra det viktigaste skadliga programmet svårare för upptäckt av säkerhetsprodukter.