FoundCore : logiciel malveillant furtif utilisé par des pirates chinois pour l’espionnage cybernétique
Table des matières :
Les experts en sécurité de Kaspersky Lab ont découvert une opération d’espionnage cybernétique de longue durée lancée par un acteur soutenu par l’État chinois visant à cibler les institutions gouvernementales et militaires à travers le Vietnam. Le groupe de hackers, connu sous les noms de Cycldek, APT27, GoblinPanda et LuckyMouse, s’est appuyé sur un cheval de Troie d’accès à distance nouveau et hautement furtif pour atteindre son objectif malveillant. Le RAT, appelé FoundCore, représente la sophistication croissante des adversaires parrainés par l’État chinois en raison de ses vastes capacités malveillantes.
Cycldek attaque le gouvernement et la marine vietnamienne
L’analyse de Kaspersky montre que la campagne de Cycldek a eu lieu entre juin 2020 et janvier 2021. La majorité des dispositifs infectés étaient situés au Vietnam, cependant, une intrusion de moindre envergure a également été détectée en Thaïlande et en Asie centrale. Les cibles principales étaient les actifs gouvernementaux et militaires, néanmoins, les adversaires s’en sont également pris aux organisations des secteurs de la diplomatie, de l’éducation et de la santé.
Pendant les intrusions, Cycldek a exploité une technique bien connue de chargement latéral de DLL pour déguiser les opérations malveillantes. En particulier, les adversaires ont utilisé des fichiers signés légitimement pour charger et décrypter la charge utile finale de FoundCore. Les hackers ont également appliqué une couche supplémentaire de protection contre la détection et l’analyse des malwares. Selon les chercheurs, ils ont complètement élagué la majorité des en-têtes de FoundCore, certains d’entre eux restant avec des valeurs incohérentes. Cette méthode est exclusive aux acteurs affiliés à la Chine, indiquant l’avancement de leurs techniques malveillantes.
Qu’est-ce que le RAT FoundCore ?
La charge utile finale dans la chaîne d’attaque est le cheval de Troie d’accès à distance FoundCore permettant aux hackers Cycldek de prendre le contrôle total de l’instance ciblée. Pour ce faire, le malware est équipé d’une vaste gamme de fonctions notoires, y compris la manipulation du système de fichiers et des processus, la capture d’écrans et l’exécution de code arbitraire. De plus, le RAT peut agir comme un téléchargeur, déposant deux souches supplémentaires sur les PC ciblés. La première a été identifiée comme une menace de vol de données DropPhone, tandis que la seconde a été identifiée comme un malware CoreLoader capable d’assurer l’évasion.
Les experts estiment avec un haut niveau de confiance que le vecteur d’intrusion initial pour FoundCore repose sur des documents RTF malveillants. Plus précisément, l’enquête de Kaspersky précise que dans la plupart des cas, les infections FoundCore ont été précédées par l’ouverture de documents malveillants générés avec RoyalRoad et exploitant CVE-2018-0802 vulnérabilité.
Détection du RAT FoundCore
Pour détecter les attaques Cycldek utilisant le RAT FoundCore, vous pouvez télécharger une règle Sigma communautaire produite par notre développeur de Threat Bounty actif, Sittikorn Sangrattanapitak :
https://tdm.socprime.com/tdm/info/l08pKvzQtWPp
La règle est traduite pour les plateformes suivantes:
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR : Sentinel One, Microsoft Defender ATP
NTA : Corelight
MITRE ATT&CK :
Acteur : APT27
Vous cherchez le meilleur contenu SOC compatible avec votre solution de sécurité en cours d’utilisation ? Abonnez-vous à la Threat Detection Marketplace et accédez à plus de 100 000 règles de détection et de réponse pour plus de 23 outils SIEM, EDR et NTDR de premier plan sur le marché. Vous êtes inspiré pour créer vos propres règles Sigma ? Rejoignez notre programme Threat Bounty et obtenez des récompenses pour votre contribution précieuse !
