FoundCore恶意软件
一个可能与中国有联系的高级持续威胁组织(APT)发起了一项新的针对性攻击活动。据信,负责该操作的黑客属于Cycldek小组(又名Goblin Panda, APT 27和Conimes),该小组至少自2013年以来一直活跃。其次是中亚和泰国的受害者。大多数受攻击的实体在政府和军事部门中运作,但在外交,医疗和教育部门中也观察到了受害者。
该操作的关键是交付名为FoundCore的新间谍活动远程访问特洛伊木马(RAT)。该威胁使攻击者几乎完全控制了受感染的系统。它可以操纵文件系统,启动/停止过程,截屏或执行任意命令。启动FoundCore时,它将创建四个不同的有害线程,每个线程负责一个不同的任务。第一个建立了针对受威胁系统的威胁的持久性机制。第二个修改某些信息-服务的说明,其ImagePath和DisplayName字段,以使其显得更加不显眼。然后,第三个线程将通过为与当前进程关联的映像设置一个空的自由访问控制列表(DACL),来限制对底层损坏文件的访问。 FoundCore Malware的最后一个线程的任务是与C2服务器建立通信。
作为感染链的一部分,FoundCore提供了两个辅助间谍软件。第一个是DropPhone,它能够从受感染的计算机中收集各种系统信息,并将其泄漏到DropBox中。第二个恶意软件有效载荷是CoreLoader,它是一种威胁,它执行旨在使主要恶意软件更难被安全产品检测到的代码。
