FoundCore: Ausweichende Malware von chinesischen Hackern für Cyber-Spionage eingesetzt
Inhaltsverzeichnis:
Sicherheitsexperten von Kaspersky Lab haben eine langanhaltende Cyber-Spionage-Operation aufgedeckt, die von einem chinesischen, staatlich unterstützten Akteur gestartet wurde, um Regierungs- und Militäreinrichtungen in ganz Vietnam ins Visier zu nehmen. Die Hackergruppe, bekannt als Cycldek, APT27, GoblinPanda und LuckyMouse, nutzte einen brandneuen und hoch ausweichenden Remote Access Trojaner, um ihr bösartiges Ziel zu erreichen. Der RAT, genannt FoundCore, repräsentiert die zunehmende Raffinesse der chinesischen staatlich geförderten Gegner aufgrund seiner weitreichenden bösartigen Fähigkeiten.
Cycldek greift vietnamesische Regierung und Marine an
Die Analyse von Kaspersky zeigt dass die Cycldek-Kampagne zwischen Juni 2020 und Januar 2021 stattfand. Die meisten infizierten Geräte befanden sich in Vietnam, jedoch wurden auch kleinere Skalen von Einbrüchen in Thailand und Zentralasien festgestellt. Die Hauptziele waren staatliche und militärische Vermögenswerte, dennoch gingen die Gegner auch gegen Organisationen in den Bereichen Diplomatie, Bildung und Gesundheitswesen vor.
Während der Einbrüche nutzte Cycldek eine bekannte DLL-Sideloading-Technik, um bösartige Operationen zu verschleiern. Insbesondere verwendeten die Gegner legitim signierte Dateien, um die endgültige FoundCore-Nutzlast zu laden und zu entschlüsseln. Die Hacker setzten auch eine zusätzliche Schutzschicht gegen Erkennung und Malware-Analyse ein. Laut den Forschern wurden die meisten von FoundCores Headern vollständig gesäubert, wobei einige von ihnen noch mit inkohärenten Werten verblieben. Diese Methode ist exklusiv für China-affiliierte Akteure, was auf den Fortschritt ihrer bösartigen Techniken hinweist.
Was ist FoundCore RAT?
Die endgültige Nutzlast in der Angriffskette ist der FoundCore Remote Access Trojaner, der es Cycldek-Hackern ermöglicht, die volle Kontrolle über das anvisierte Gerät zu erlangen. Um dies zu erreichen, ist die Malware mit einer Vielzahl berüchtigter Funktionen ausgestattet, darunter Dateisystem- und Prozessmanipulation, Bildschirmaufnahme und beliebige Codeausführung. Zusätzlich kann der RAT als Downloader agieren, indem er zwei weitere Belastungen auf die Ziel-PCs ablegt. Die erste wurde als die datenstehlende Bedrohung DropPhone identifiziert, während die zweite als die Malware CoreLoader erkannt wurde, die Ausweichmöglichkeiten sicherstellen kann.
Experten glauben mit hoher Sicherheit, dass der anfängliche Einbruchsvektor für FoundCore auf bösartigen RTF-Dokumenten beruht. Insbesondere erläutert die Untersuchung von Kaspersky, dass in den meisten Fällen FoundCore-Infektionen durch das Öffnen von mit RoyalRoad erstellten bösartigen Dokumenten eingeleitet wurden, die die CVE-2018-0802 Schwachstelle ausnutzen.
FoundCore RAT-Erkennung
Um die Cycldek-Angriffe unter Nutzung von FoundCore RAT zu erkennen, können Sie eine Community Sigma-Regel herunterladen, die von unserem aktiven Threat Bounty-Entwickler, Sittikorn Sangrattanapitak,
https://tdm.socprime.com/tdm/info/l08pKvzQtWPp
Die Regel enthält Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Sentinel One, Microsoft Defender ATP
NTA: Corelight
MITRE ATT&CK:
Akteur: APT27
Suchen Sie nach den besten SOC-Inhalten, die mit Ihrer Sicherheitslösung kompatibel sind? Abonnieren Sie den Threat Detection Marketplace und greifen Sie auf über 100.000 Erkennungs- und Reaktionsregeln für 23+ marktführende SIEM-, EDR- und NTDR-Tools zu. Inspiriert, Ihre eigenen Sigma-Regeln zu erstellen? Treten Sie unserem Threat Bounty-Programm bei und lassen Sie sich für Ihren wertvollen Beitrag belohnen!
