FoundCore Malware

Çin ile muhtemel bağları olan bir APT (Advanced Persistent Threat) grubu tarafından yürütülen yeni bir hedefli saldırı kampanyası ortaya çıkarıldı. Operasyondan sorumlu bilgisayar korsanlarının en az 2013'ten beri aktif olan Cycldek grubuna (diğer adıyla Goblin Panda, APT 27 ve Conimes) ait olduğuna inanılıyor. Operasyon, gözlemlenen hedeflerin çoğu Vietnam'dan olacak şekilde yerelleştirilmiş görünüyor. bunu Orta Asya ve Tayland'dan kurbanlar izledi. Saldırıya uğrayan varlıkların çoğu hükümet ve askeri sektörlerde faaliyet gösterdi, ancak kurbanlar diplomasi, sağlık ve eğitim sektörlerinde de görüldü.

Operasyonun özü, FoundCore adlı yeni bir casusluk uzaktan erişim Truva Atı'nın (RAT) teslim edilmesidir. Tehdit, saldırganlara tehlikeye atılan sistem üzerinde neredeyse tam kontrol sağlar. Dosya sistemini işleyebilir, işlemleri başlatabilir / durdurabilir, ekran görüntüleri alabilir veya rastgele komutlar çalıştırabilir. FoundCore başlatıldığında, her biri farklı bir görevden sorumlu olan dört farklı zararlı iş parçacığı oluşturur. İlki, tehlikeye atılan sistem üzerindeki tehdit için bir kalıcılık mekanizması oluşturdu. İkincisi, belirli bilgileri - hizmetin Açıklaması, ImagePath'i ve DisplayName alanlarını daha göze çarpmayacak şekilde değiştirir. Ardından, üçüncü iş parçacığı, geçerli işlemle ilişkili görüntüye boş bir İsteğe Bağlı Erişim Kontrol Listesi (DACL) oluşturarak temeldeki bozuk dosyalara erişimi kısıtlayacaktır. FoundCore Kötü Amaçlı Yazılımın son iş parçacığı, C2 sunucusuyla iletişim kurmakla görevlendirilir.

Bulaşma zincirinin bir parçası olarak, FoundCore iki yardımcı casus yazılım parçası sağladı. İlki olan DropPhone, virüslü makineden çeşitli sistem bilgilerini toplayabilir ve bunları DropBox'a sızdırabilir. İkinci kötü amaçlı yazılım yükü, ana kötü amaçlı yazılımın güvenlik ürünleri tarafından tespit edilmesini zorlaştırmak için tasarlanmış kodu yürüten bir tehdit olan CoreLoader idi.