Golden Chickens Criminal Group
Golden Chickens是分配給犯罪黑客組織的名稱,該組織成功地將自己確立為MaaS(惡意軟件即服務)方案中主要的惡意軟件威脅提供者。他們的惡意工具和命令與控制(C2,C&C)基礎結構的有效性甚至吸引了APT(高級持久威脅)組作為其客戶。 Golden Chickens在地下論壇上提供服務,其武器庫包括兩個名為Venom和Taurus的構建工具包,以及一個稱為more_eggs的複雜後門Trojan威脅(Terra Loader,SpicyOmelette)。
金雞的惡意產品
Golden Chickens提供的第一個構建器工具包是VenomKit。它是一種專用工具,它允許威脅參與者製作自定義的惡意富文本文件(RTF)文檔。可以利用幾個不同的漏洞作為目標計算機系統的突破點,包括CVE-2018-8174,CVE-2017-11882和CVE-2018-0802。可以通過批處理和scriptlet文件從Web資源下載第二階段的有效負載。
第二個構建器稱為Taurus Builder Kit。它用於創建帶有惡意VBA(應用程序的Visual Basic)宏代碼的MS Word文檔。使用此方法提供了更高的機會來避免被反惡意軟件解決方案檢測到,但需要受害者與之交互才能啟用惡意代碼。 VBA代碼能夠通過利用合法的Windows工具來下載和執行其他惡意軟件有效載荷。
more_eggs後門是一種複雜的威脅,已在多個APT組(例如Evilnum,FIN6和Cobalt組)的操作中採用。從本質上講,more_eggs是一個JavaScript後門,能夠將信標發送到C2服務器並獲取從外部Web資源下載的其他最終階段惡意軟件有效負載。 More_eggs具有幾個可以根據客戶端的需求進行自定義的屬性,例如C2服務器,信標和睡眠計時器等。
