Golden Chickens Criminal Group

Golden Chickens är namnet som tilldelats en kriminell hackargrupp som har lyckats etablera sig som en framträdande leverantör av skadliga hot i ett MaaS-system (Malware-as-a-Service). Effektiviteten av deras skadliga verktyg och Command-and-Control (C2, C&C) infrastruktur har lyckats locka till och med APT-grupper (Advanced Persistent Threat) som sina kunder. Golden Chickens erbjuder sina tjänster på underjordiska forum och deras arsenal innehåller två byggsatser med namnet Venom och Taurus samt ett sofistikerat bakdörr Trojan-hot som kallas more_eggs (Terra Loader, SpicyOmelette).

Golden Chickens skadliga produkter

Det första byggarsatsen som erbjuds av Golden Chickens är VenomKit. Det är ett specialiserat verktyg som gör det möjligt för hotaktörer att skapa egna skadliga Rich Text File-dokument (RTF). Flera olika sårbarheter kan utnyttjas som en brytpunkt i målets datorsystem inklusive CVE-2018-8174, CVE-2017-11882 och CVE-2018-0802. Det andra stegets nyttolast kan laddas ner från en webbresurs genom batch- och skriptfiler.

Den andra byggaren heter Taurus Builder Kit. Den används för att skapa MS Word-dokument som innehåller skadlig VBA-makrokod (Visual Basic for Application). Att använda den här metoden ger en högre chans att undvika upptäckt av anti-malware-lösningar men det kräver interaktion från offret för att aktivera den skadliga koden. VBA-koden kan ladda ner och köra ytterligare nyttolast för skadlig programvara genom att utnyttja legitima Windows-verktyg.

The more_eggs bakdörr är ett sofistikerat hot som har använts i verksamheten för flera APT-grupper som Evilnum, FIN6 och Cobalt Group. More_eggs är i grunden en JavaScript-bakdörr som kan skicka en fyr till en C2-server och hämta ytterligare skadliga nyttolast i slutskedet som laddats ner från en extern webbresurs. More_eggs har flera attribut som kan anpassas efter klientens önskemål, till exempel C2-servern, fyr- och vilotimer och mer.