FoundCore: Malware evasivo usado por hackers chinos para ciberespionaje
Tabla de contenidos:
Expertos en seguridad de Kaspersky Lab han descubierto una operaciĂłn de ciberespionaje de larga duraciĂłn lanzada por un actor respaldado por la naciĂłn china para atacar instituciones gubernamentales y militares en todo Vietnam. El grupo de hackers, conocido como Cycldek, APT27, GoblinPanda y LuckyMouse, utilizĂł un troyano de acceso remoto completamente nuevo y altamente evasivo para alcanzar su objetivo malicioso. El RAT, llamado FoundCore, representa la creciente sofisticaciĂłn de los adversarios patrocinados por el estado chino debido a sus vastas capacidades maliciosas.
Cycldek ataca al gobierno y la marina de Vietnam
El análisis de Kaspersky muestra que la campaña Cycldek tuvo lugar entre junio de 2020 y enero de 2021. La mayorĂa de los dispositivos infectados se localizaron en Vietnam, sin embargo, se detectaron intrusiones de menor escala tambiĂ©n en Tailandia y Asia Central. Los principales objetivos eran activos gubernamentales y militares, aunque los adversarios tambiĂ©n atacaron a organizaciones en los sectores de diplomacia, educaciĂłn y salud.
Durante las intrusiones, Cycldek aprovechĂł una tĂ©cnica conocida de carga lateral de DLL para enmascarar operaciones maliciosas. En particular, los adversarios utilizaron archivos firmados legĂtimamente para cargar y descifrar la carga final de FoundCore. Los hackers tambiĂ©n aplicaron una capa adicional de protecciĂłn contra la detecciĂłn y el análisis de malware. SegĂşn los investigadores, limpiaron completamente la mayorĂa de los encabezados de FoundCore, quedando un par de ellos con valores incoherentes. Este mĂ©todo es exclusivo para actores afiliados en China, indicando el avance de sus tĂ©cnicas maliciosas.
¿Qué es el RAT FoundCore?
La carga final en la cadena de ataque es el troyano de acceso remoto FoundCore, que permite a los hackers de Cycldek obtener control total sobre la instancia objetivo. Para lograr esto, el malware está equipado con una amplia gama de funciones notoriamente dañinas, como la manipulación del sistema de archivos y procesos, la captura de capturas de pantalla y la ejecución de código arbitrario. Además, el RAT puede actuar como un descargador, dejando caer dos cepas adicionales en las PC objetivo. La primera se identificó como una amenaza de robo de datos llamada DropPhone, mientras que la segunda se identificó como un malware CoreLoader capaz de asegurar la evasión.
Los expertos creen con un alto nivel de confianza que el vector de intrusiĂłn inicial de FoundCore se basa en documentos RTF maliciosos. EspecĂficamente, la investigaciĂłn de Kaspersky detalla que en la mayorĂa de los casos las infecciones de FoundCore fueron precedidas por la apertura de documentos maliciosos generados con RoyalRoad y explotando CVE-2018-0802 vulnerabilidad.
DetecciĂłn de RAT FoundCore
Para detectar los ataques de Cycldek que aprovechan el RAT FoundCore, puede descargar una regla Sigma comunitaria producida por nuestro desarrollador activo de Threat Bounty, Sittikorn Sangrattanapitak:
https://tdm.socprime.com/tdm/info/l08pKvzQtWPp
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Sentinel One, Microsoft Defender ATP
NTA: Corelight
MITRE ATT&CK:
Actor: APT27
ÂżBusca el mejor contenido de SOC compatible con la soluciĂłn de seguridad que usa? SuscrĂbase al Mercado de DetecciĂłn de Amenazas y alcance más de 100K reglas de DetecciĂłn y Respuesta para más de 23 herramientas lĂderes en el mercado de SIEM, EDR y NTDR. ÂżInspirado para crear sus propias reglas Sigma? ¡Únase a nuestro programa Threat Bounty y obtenga recompensas por su valiosa contribuciĂłn!
