FoundCore: サイバー諜報活動に用いられる中国ハッカーの回避型マルウェア

Kaspersky Labのセキュリティ専門家は、中国の国家支援によるアクターがベトナムの政府機関と軍事機関を標的にした長期間にわたるサイバー スパイ活動を明らかにしました。このハッカーグループはCycldek、APT27、GoblinPanda、LuckyMouseとして知られており、非常に回避的な新しいリモートアクセス トロイの木馬を利用してその悪意のある目的を達成しました。FoundCoreと呼ばれるRATは、その膨大な悪意のある機能により、中国の国家支援の敵対者の洗練が進んでいることを示しています。

サイクルデックがベトナム政府と海軍を攻撃

Kasperskyの分析 は示しています 2020年6月から2021年1月の間にCycldekキャンペーンが行われたことを。感染したデバイスの大多数はベトナムに位置していましたが、タイと中央アジアでも小規模な侵入が確認されました。主要な標的は政府および軍事資産でしたが、敵対者は外交、教育、および医療部門の組織にも手を伸ばしました。

侵入中、Cycldekは悪意のある操作を隠すためによく知られたDLLサイドローディング技術を活用しました。特に、敵対者は正当に署名されたファイルを使用して最終的なFoundCoreペイロードをロードして復号化しました。ハッカーたちは検出とマルウェア分析に対する追加の保護層も適用しました。研究者によると、彼らはFoundCoreのヘッダーの大部分を完全に洗い出しましたが、いくつかは一貫性のない値が残っていました。この方法は中国関連のアクターに特有であり、その悪意のある技術の進歩を示しています。

FoundCore RATとは？

攻撃のキルチェーンの最終ペイロードは、Cycldekハッカーがターゲットにしたインスタンスを完全に制御できるようにするFoundCoreリモートアクセス トロイの木馬です。これを達成するために、このマルウェアはファイルシステムとプロセスの操作、スクリーンショットのキャプチャ、任意のコード実行を含む有名な機能を多数備えています。さらに、RATはダウンローダーとして機能し、ターゲットのPCに2つの追加のストレインをドロップできます。最初のものはデータを盗むDropPhoneの脅威として見つかり、2番目のものは回避を確保できるCoreLoaderマルウェアとして識別されました。

専門家は、FoundCore の最初の侵入ベクトルが悪意のあるRTFドキュメントに依存していると高い確信を持っています。具体的には、Kasperskyの調査では、多くの場合、FoundCoreの感染はRoyalRoadを使用して生成された悪意のあるドキュメントを開くことにより引き起こされたとされています。 CVE-2018-0802 の脆弱性を利用する。

FoundCore RATの検出

FoundCore RATを利用したCycldek攻撃を検出するには、私たちのアクティブなThreat Bounty デベロッパーである Sittikorn Sangrattanapitak によって生成されたコミュニティSigmaルールをダウンロードできます。 

https://tdm.socprime.com/tdm/info/l08pKvzQtWPp

このルールは以下のプラットフォームへの翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Sentinel One, Microsoft Defender ATP

NTA: Corelight

MITRE ATT&CK:

アクター: APT27

現在使用しているセキュリティソリューションに対応する最高のSOCコンテンツを探していますか？Threat Detection Marketplaceに登録し、23以上の市場をリードするSIEM、EDR、NTDRツールの100,000以上の検出およびレスポンスルールにアクセスしてください。独自のSigmaルールを作成する意欲がありますか？Threat Bountyプログラムに参加し、あなたの貴重なインプットに対して報酬を得ましょう！

プラットフォームへ移動 サレットバウンティに参加する