FoundCore: Malware Evasivo Usado por Hackers Chineses para Ciberespionagem
Índice:
Especialistas em segurança da Kaspersky Lab descobriram uma operação de ciberespionagem de longa duração lançada por um ator apoiado por nação chinesa para atacar instituições governamentais e militares em todo o Vietnã. O grupo de hackers, conhecido como Cycldek, APT27, GoblinPanda e LuckyMouse, usou um Trojan de acesso remoto totalmente novo e altamente evasivo para atingir seu objetivo malicioso. O RAT, chamado FoundCore, representa o aumento da sofisticação dos adversários patrocinados pelo estado chinês devido às suas vastas capacidades maliciosas.
Cycldek Ataca o Governo e a Marinha do Vietnã
A análise da Kaspersky mostra que a campanha Cycldek ocorreu entre junho de 2020 e janeiro de 2021. A maioria dos dispositivos infectados estava localizada no Vietnã, no entanto, uma escala menor de intrusões também foi observada na Tailândia e na Ásia Central. Os alvos principais eram ativos governamentais e militares, mas os adversários também atacaram organizações nos setores de diplomacia, educação e saúde.
Durante as intrusões, Cycldek utilizou uma técnica conhecida de DLL side-loading para camuflar operações maliciosas. Particularmente, os adversários usaram arquivos assinados legitimamente para carregar e descriptografar a carga final do FoundCore. Os hackers também aplicaram uma camada adicional de proteção contra detecção e análise de malware. De acordo com os pesquisadores, eles eliminaram completamente a maioria dos cabeçalhos do FoundCore, com alguns deles permanecendo com valores incoerentes. Este método é exclusivo para atores afiliados à China, indicando o avanço de suas técnicas maliciosas.
O que é o FoundCore RAT?
A carga final na cadeia de ataque é o Trojan de acesso remoto FoundCore, permitindo que os hackers do Cycldek obtenham controle total sobre a instância alvo. Para conseguir isso, o malware está armado com uma vasta gama de funções notórias, incluindo manipulação do sistema de arquivos e processos, captura de telas e execução de código arbitrário. Além disso, o RAT pode atuar como um downloader, inserindo duas linhagens adicionais nos PCs alvo. A primeira foi identificada como uma ameaça de roubo de dados DropPhone, enquanto a segunda foi identificada como um malware CoreLoader capaz de garantir evasão.
Os especialistas acreditam com alto nível de confiança que o vetor inicial de intrusão para o FoundCore depende de documentos RTF maliciosos. Especificamente, a investigação da Kaspersky detalha que, na maioria dos casos, as infecções por FoundCore foram precedidas pela abertura de documentos maliciosos gerados com o RoyalRoad e explorando CVE-2018-0802 vulnerabilidade.
Detecção do FoundCore RAT
Para detectar os ataques do Cycldek utilizando o FoundCore RAT, você pode baixar uma regra Sigma da comunidade produzida pelo nosso desenvolvedor ativo do Threat Bounty, Sittikorn Sangrattanapitak:
https://tdm.socprime.com/tdm/info/l08pKvzQtWPp
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Sentinel One, Microsoft Defender ATP
NTA: Corelight
MITRE ATT&CK:
Ator: APT27
Procurando o melhor conteúdo SOC compatível com sua solução de segurança em uso? Assine o Threat Detection Marketplace e alcance mais de 100K regras de Detecção e Resposta para mais de 23 ferramentas SIEM, EDR e NTDR líderes de mercado. Inspirado para criar suas próprias regras Sigma? Junte-se ao nosso programa Threat Bounty e seja recompensado por sua valiosa contribuição!
