Rilevamento TerraStealerV2 e TerraLogger: L’attore delle minacce Golden Chickens dietro le nuove famiglie di malware
Indice:
Il gruppo a scopo di lucro Golden Chickens conosciuto per operare sotto un modello MaaS è stato collegato a due nuove varianti malevole identificate, TerraStealerV2 e TerraLogger, che indica gli sforzi continui del gruppo per migliorare ed espandere la propria gamma di strumenti offensivi. TerraStealerV2 raccoglie credenziali del browser, dati del portafoglio crittografico e dettagli dalle estensioni del browser, mentre TerraLogger agisce come keylogger autonomo, registrando le sequenze di tasti e memorizzando i log localmente.
Rileva gli attacchi Golden Chickens sfruttando il malware TerraStealerV2 e TerraLogger
Il rapporto del Global Economic Forum evidenzia che nel 2025, circa il 72% delle organizzazioni ha visto un significativo aumento del rischio informatico negli ultimi 12 mesi e il 63% ha indicato il panorama delle minacce complesso e in evoluzione come la più grande sfida per diventare cibersicuri. I criminali informatici stanno diventando più innovativi, sfruttando automazione, attacchi generati dall’IA, exploit zero-day e tattiche sofisticate per violare anche le difese più fortificate.
Registrati per la piattaforma SOC Prime per superare le minacce in evoluzione come TerraStealerV2 e TerraLogger di Golden Chickens. Accedi a un set di regole Sigma pertinenti che affrontano le TTP degli aggressori supportate da una gamma completa di prodotti per l’ingegneria della rilevazione potenziata dall’IA, il rilevamento proattivo delle minacce e la rilevazione avanzata delle minacce. Basta premere il Esplora rilevamenti e approfondire immediatamente uno stack di rilevamento curato.
Tutte le regole sono compatibili con molteplici tecnologie SIEM, EDR e Data Lake e sono mappate a MITRE ATT&CK® per semplificare l’indagine sulle minacce. Inoltre, ogni regola è arricchita con un ampio metadata, compresi CTI riferimenti, cronologie degli attacchi, configurazioni di audit, raccomandazioni di triage e altro.
I cyberdifensori possono cercare nel Threat Detection Marketplace usando i tag “TerraStealerV2” e “TerraLogger” per seguire gli aggiornamenti del contenuto di rilevamento.
Inoltre, i professionisti della sicurezza possono sfruttare Uncoder AI – un IDE privato e co-pilota per l’ingegneria della rilevazione informata dalle minacce – ora completamente gratuito e disponibile senza limiti di token sulle funzionalità di IA. Genera algoritmi di rilevazione dai rapporti di minaccia grezzi, abilita scansioni rapide di IOC in query ottimizzate per le prestazioni, prevede tag ATT&CK, ottimizza il codice delle query con suggerimenti IA, lo traduce in 48 linguaggi SIEM, EDR e Data Lake e altro.
Analisi delle ultime attività di Golden Chickens
I ricercatori del gruppo Insikt di Recorded Future hanno scoperto un paio di nuovi campioni malevoli collegati al gruppo Golden Chickens (noto anche come Venom Spider). Conosciuto per operare una piattaforma MaaS sfruttata da attori di minacce come FIN6, Cobalt Group, e Evilnum, Golden Chickens sembra espandere attivamente il proprio set di strumenti a supporto del furto di credenziali e delle attività di keylogging.
TerraStealerV2 può raccogliere credenziali del browser e mirare ai portafogli di criptovaluta e ai dati delle estensioni. Il malware è stato osservato in vari formati, come LNK, MSI, DLL e EXE, e utilizza strumenti legittimi di Windows come regsvr32.exe e mshta.exe per evitare il rilevamento. Sebbene tenti di accedere al database “Login Data” di Chrome, non può superare le protezioni ABE post-luglio 2024, suggerendo che è ancora in fase di sviluppo o obsoleto.
Un’altra variante malevola di recente osservazione, TerraLogger, opera come un keylogger di base, utilizzando un hook di tastiera a basso livello standard per registrare le sequenze di tasti e salvare i log localmente. Manca di funzionalità di esfiltrazione dei dati e C2, suggerendo che sia uno strumento in fase iniziale o progettato per funzionare in modo modulare all’interno del framework MaaS di Golden Chickens.
Dal 2018 almeno, la suite MaaS di Golden Chickens è stata sfruttata in attacchi mirati a organizzazioni di alto profilo, principalmente tramite tattiche di ingegneria sociale, come email di spearphishing che si presentano come offerte di lavoro o curriculum. I componenti principali della suite sono VenomLNK e TerraLoader. Le infezioni tipicamente iniziano con VenomLNK, un collegamento Windows malevolo che avvia TerraLoader, che poi consegna ulteriori payload di Golden Chickens. Questi includono TerraStealer per il furto di credenziali, TerraTV per il dirottamento delle sessioni TeamViewer e TerraCrypt per il dispiegamento di ransomware. Altri strumenti associati all’interno dell’ecosistema MaaS di Golden Chickens includono TerraRecon per il riconoscimento di sistema, TerraWiper per la distruzione di dati e lite_more_eggs. Alla fine del 2024, Golden Chickens era dietro il dispiegamento del backdoor RevC2 e Venom Loader, entrambi consegnati tramite VenomLNK.
TerraStealerV2 e TerraLogger sembrano essere ancora in fase di sviluppo attivo e mancano delle sofisticate funzionalità di stealth solitamente viste in un toolkit di Golden Chickens più raffinato. Tuttavia, considerando la comprovata competenza del gruppo nella costruzione di strumenti di furto di credenziali e accesso, ci si aspetta che queste funzionalità si svilupperanno ulteriormente. Per minimizzare i rischi degli attacchi di Golden Chickens, le organizzazioni dovrebbero implementare strategie di sicurezza informatica proattive per difendersi in modo tempestivo contro tali minacce in continua evoluzione. La piattaforma SOC Prime fornisce ai team di sicurezza una suite completa di prodotti per la difesa informatica collettiva supportata da IA, automazione e intelligenza in tempo reale per aiutare le organizzazioni globali a ottimizzare in modo efficiente la loro postura di sicurezza informatica.