Golden Chickens Criminal Group
Golden Chickens是分配给犯罪黑客组织的名称,该组织成功地将自己确立为MaaS(恶意软件即服务)方案中主要的恶意软件威胁提供者。他们的恶意工具和命令与控制(C2,C&C)基础结构的有效性甚至吸引了APT(高级持久威胁)组作为其客户。 Golden Chickens在地下论坛上提供服务,其武器库包括两个名为Venom和Taurus的构建工具包,以及一个称为more_eggs的复杂后门Trojan威胁(Terra Loader,SpicyOmelette)。
金鸡的恶意产品
Golden Chickens提供的第一个构建器工具包是VenomKit。它是一种专用工具,可让威胁行为者制作自定义的恶意富文本文件(RTF)文档。可以利用几个不同的漏洞作为目标计算机系统的突破点,包括CVE-2018-8174,CVE-2017-11882和CVE-2018-0802。可以通过批处理和scriptlet文件从Web资源下载第二阶段的有效负载。
第二个构建器称为Taurus Builder Kit。它用于创建带有恶意VBA(应用程序的Visual Basic)宏代码的MS Word文档。使用此方法提供了更高的机会来避免被反恶意软件解决方案检测到,但需要受害者与之交互才能启用恶意代码。 VBA代码能够通过利用合法的Windows工具来下载和执行其他恶意软件有效载荷。
more_eggs后门是一种复杂的威胁,已在多个APT组(如Evilnum,FIN6和Cobalt组)的操作中采用。从本质上讲,more_eggs是一个JavaScript后门,能够将信标发送到C2服务器并获取从外部Web资源下载的其他最终阶段恶意软件有效负载。 More_eggs具有几个可以根据客户端的需求进行自定义的属性,例如C2服务器,信标和睡眠计时器等。
