FoundCore: Malware Evasivo Usato da Hacker Cinesi per Cyberspionaggio
Indice:
Gli esperti di sicurezza di Kaspersky Lab hanno scoperto un’operazione di spionaggio informatico a lungo termine lanciata da un attore sostenuto dalla nazione cinese per colpire istituzioni governative e militari in tutto il Vietnam. Il gruppo di hacker, noto come Cycldek, APT27, GoblinPanda e LuckyMouse, si è affidato a un Trojan di accesso remoto nuovo di zecca e altamente evasivo per raggiungere il suo obiettivo malevolo. Il RAT, chiamato FoundCore, rappresenta l’aumento della sofisticazione degli avversari sponsorizzati dallo stato cinese a causa delle sue vaste capacità malevole.
Cycldek attacca il governo vietnamita e la marina
L’analisi di Kaspersky mostra che la campagna di Cycldek ha avuto luogo tra il giugno 2020 e il gennaio 2021. La maggior parte dei dispositivi infettati si trovava in Vietnam, tuttavia è stata osservata una minore entità di intrusioni anche in Thailandia e Asia centrale. I principali obiettivi erano beni governativi e militari, tuttavia, gli avversari sono andati anche contro organizzazioni nei settori della diplomazia, istruzione e sanità .
Durante le intrusioni, Cycldek ha sfruttato una tecnica di DLL side-loading ben nota per mascherare operazioni ostili. In particolare, gli avversari hanno utilizzato file firmati in modo legittimo per caricare e decrittare il payload finale di FoundCore. Gli hacker hanno anche applicato un ulteriore livello di protezione contro il rilevamento e l’analisi di malware. Secondo i ricercatori, hanno completamente perlustrato la maggior parte delle intestazioni di FoundCore, con alcune di esse rimaste con valori incoerenti. Questo metodo è esclusivo per gli attori affiliati alla Cina, indicando l’avanzamento delle loro tecniche malevole.
Cos’è il FoundCore RAT?
Il payload finale nella catena di attacco è il Trojan di accesso remoto FoundCore che consente agli hacker Cycldek di ottenere il pieno controllo sull’istanza target. Per ottenere questo, il malware è dotato di una vasta gamma di funzioni notorie, tra cui la manipolazione del file system e dei processi, la cattura di screenshot e l’esecuzione arbitraria di codice. Inoltre, il RAT può agire come downloader, distribuendo due ulteriori minacce ai PC target. La prima è risultata essere una minaccia di furto dati DropPhone, mentre la seconda è stata identificata come un malware CoreLoader in grado di garantire l’evasione.
Gli esperti credono con alto livello di confidenza che il vettore di intrusione iniziale per FoundCore si basi su documenti RTF malevoli. In particolare, l’indagine di Kaspersky dettaglia che nella maggior parte dei casi le infezioni di FoundCore sono state precedute dall’apertura di documenti malevoli generati con RoyalRoad e sfruttando CVE-2018-0802 vulnerabilità .
Rilevamento del FoundCore RAT
Per rilevare gli attacchi Cycldek che sfruttano il RAT FoundCore, è possibile scaricare una regola Sigma comunitaria prodotta dal nostro sviluppatore attivo di Threat Bounty, Sittikorn Sangrattanapitak:
https://tdm.socprime.com/tdm/info/l08pKvzQtWPp
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Sentinel One, Microsoft Defender ATP
NTA: Corelight
MITRE ATT&CK:
Attore: APT27
Cerchi il miglior contenuto SOC compatibile con la tua soluzione di sicurezza in uso? Iscriviti al Threat Detection Marketplace e accedi a oltre 100K regole di rilevamento e risposta per 23+ strumenti leader di mercato SIEM, EDR e NTDR. Sei ispirato a creare le tue regole Sigma? Partecipa al nostro programma Threat Bounty e ricevi una ricompensa per il tuo prezioso contributo!
