Grupong Kriminal ng mga Golden Chicken

Ang Golden Chickens ay ang pangalang itinalaga sa isang grupo ng kriminal na hacker na nagawang itatag ang sarili bilang isang kilalang provider ng mga banta ng malware sa isang MaaS (Malware-as-a-Service) scheme. Ang pagiging epektibo ng kanilang mga nakakahamak na tool at Command-and-Control (C2, C&C) na imprastraktura ay nagawang maakit kahit na ang mga grupo ng APT (Advanced Persistent Threat) bilang kanilang mga kliyente. Ang Golden Chicken ay nag-aalok ng kanilang mga serbisyo sa mga underground forum at ang kanilang arsenal ay may kasamang dalawang building kit na pinangalanang Venom at Taurus pati na rin ang isang sopistikadong backdoor na banta ng Trojan na tinatawag na more_eggs (Terra Loader, SpicyOmelette).

Mga Masasamang Produkto ng Mga Gintong Manok

Ang unang builder kit na inaalok ng Golden Chickens ay VenomKit. Ito ay isang espesyal na tool na nagbibigay-daan sa mga aktor ng pagbabanta na gumawa ng mga custom na nakakahamak na Rich Text File (RTF) na mga dokumento. Maraming iba't ibang mga kahinaan ang maaaring gamitin bilang isang paglabag sa sistema ng computer ng target kabilang ang CVE-2018-8174, CVE-2017-11882, at CVE-2018-0802. Ang ikalawang yugto ng payload ay maaaring ma-download mula sa isang mapagkukunan ng Web sa pamamagitan ng mga batch at scriptlet na file.

Ang pangalawang tagabuo ay tinatawag na Taurus Builder Kit. Ito ay ginagamit para sa paglikha ng mga dokumento ng MS Word na nagdadala ng malisyosong VBA (Visual Basic for Application) macro code. Ang paggamit sa paraang ito ay nag-aalok ng mas mataas na pagkakataon upang maiwasan ang pagtuklas ng mga solusyon sa anti-malware ngunit nangangailangan ito ng pakikipag-ugnayan mula sa biktima upang paganahin ang malisyosong code. Ang VBA code ay may kakayahang mag-download at magsagawa ng mga karagdagang malware payload sa pamamagitan ng pagsasamantala sa mga lehitimong tool sa Windows. Ang more_eggs backdoor ay isang sopistikadong banta na ginamit sa mga operasyon ng maraming grupo ng APT gaya ng Evilnum , FIN6, at ang Cobalt Group . Sa kaibuturan nito, ang more_eggs ay isang backdoor ng JavaScript na may kakayahang magpadala ng beacon sa isang C2 server at kumuha ng karagdagang mga end-stage na malware payload na na-download mula sa isang panlabas na mapagkukunan ng Web. More_eggs ay may ilang mga katangian na maaaring i-customize ayon sa mga kagustuhan ng kliyente tulad ng C2 server, beacon at sleep timer, at higit pa.