FoundCore惡意軟件
一個可能與中國有聯繫的高級持續威脅組織(APT)發起了一項新的針對性攻擊活動。據信,負責該操作的黑客屬於Cycldek小組(又名Goblin Panda, APT 27和Conimes),該小組至少自2013年以來一直活躍。其次是中亞和泰國的受害者。大多數受攻擊的實體在政府和軍事部門中運作,但在外交,醫療和教育部門中也觀察到了受害者。
該操作的關鍵是交付名為FoundCore的新間諜活動遠程訪問特洛伊木馬(RAT)。該威脅使攻擊者幾乎完全控制了受感染的系統。它可以操縱文件系統,啟動/停止進程,截屏或執行任意命令。啟動FoundCore時,它將創建四個不同的有害線程,每個線程負責一個不同的任務。第一個建立了針對受威脅系統的威脅的持久性機制。第二個修改某些信息-服務的說明,其ImagePath和DisplayName字段,以使其顯得更加不顯眼。然後,第三個線程將通過為與當前進程關聯的映像設置一個空的自由訪問控制列表(DACL),來限制對底層損壞文件的訪問。 FoundCore Malware的最後一個線程的任務是與C2服務器建立通信。
作為感染鏈的一部分,FoundCore提供了兩個輔助間諜軟件。第一個是DropPhone,它能夠從受感染的計算機中收集各種系統信息,並將其洩漏到DropBox中。第二個惡意軟件有效載荷是CoreLoader,它是一種威脅,它執行旨在使主要惡意軟件更難被安全產品檢測到的代碼。
