กลุ่มอาชญากรไก่ทอง

Golden Chickens เป็นชื่อที่กำหนดให้กับกลุ่มแฮ็กเกอร์อาชญากรที่จัดการเพื่อสร้างตัวเองให้เป็นผู้ให้บริการภัยคุกคามมัลแวร์ที่โดดเด่นในรูปแบบ MaaS (Malware-as-a-Service) ประสิทธิภาพของเครื่องมือที่เป็นอันตรายและโครงสร้างพื้นฐาน Command-and-Control (C2, C&C) สามารถดึงดูดกลุ่ม APT (Advanced Persistent Threat) มาเป็นลูกค้าได้ Golden Chickens ให้บริการบนฟอรัมใต้ดินและคลังแสงของพวกเขารวมถึงชุดอุปกรณ์สองชุดชื่อ Venom และ Taurus ตลอดจนภัยคุกคามโทรจันลับๆ ที่เรียกว่า more_eggs (Terra Loader, SpicyOmelette)

ผลิตภัณฑ์ที่เป็นอันตรายของไก่ทอง

ชุดเครื่องมือสร้างชุดแรกที่ Golden Chickens นำเสนอคือ VenomKit เป็นเครื่องมือพิเศษที่ช่วยให้ผู้คุกคามสามารถสร้างเอกสาร Rich Text File (RTF) ที่เป็นอันตรายได้ ช่องโหว่ต่างๆ ที่สามารถนำมาใช้เป็นจุดเจาะระบบคอมพิวเตอร์ของเป้าหมายได้ เช่น CVE-2018-8174, CVE-2017-11882 และ CVE-2018-0802 สามารถดาวน์โหลดเพย์โหลดขั้นที่สองจากทรัพยากรบนเว็บผ่านไฟล์แบตช์และสคริปต์เล็ต

ตัวสร้างที่สองเรียกว่า Taurus Builder Kit ใช้สำหรับสร้างเอกสาร MS Word ที่มีโค้ดแมโคร VBA (Visual Basic for Application) ที่เป็นอันตราย การใช้วิธีนี้ทำให้มีโอกาสสูงที่จะหลีกเลี่ยงการตรวจจับโดยโซลูชันป้องกันมัลแวร์ แต่ต้องมีการโต้ตอบจากเหยื่อเพื่อเปิดใช้งานโค้ดที่เป็นอันตราย รหัส VBA สามารถดาวน์โหลดและดำเนินการเพย์โหลดมัลแวร์เพิ่มเติมได้โดยใช้เครื่องมือ Windows ที่ถูกต้องตามกฎหมาย แบ็คดอร์ more_eggs เป็นภัยคุกคามที่ซับซ้อนซึ่งถูกใช้ในการดำเนินงานของกลุ่ม APT หลายกลุ่ม เช่น Evilnum , FIN6 และ Cobalt Group แก่นแท้ more_eggs คือแบ็คดอร์ JavaScript ที่สามารถส่งบีคอนไปยังเซิร์ฟเวอร์ C2 และดึงข้อมูลมัลแวร์ขั้นสุดท้ายเพิ่มเติมที่ดาวน์โหลดจากทรัพยากรบนเว็บภายนอก More_eggs มีคุณลักษณะหลายอย่างที่สามารถปรับแต่งได้ตามความต้องการของลูกค้า เช่น เซิร์ฟเวอร์ C2 บีคอนและตัวตั้งเวลาปิดเครื่อง และอื่นๆ