Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Malware Logiciel malveillant FoundCore

Logiciel malveillant FoundCore

Par Mezo en Malware
Se traduisent par :
Français

Une nouvelle campagne d'attaque ciblée menée par un groupe APT (Advanced Persistent Threat) ayant des liens probables avec la Chine a été découverte. On pense que les pirates informatiques responsables de l'opération appartiennent au groupe Cycldek (alias Goblin Panda, APT 27 et Conimes) qui est actif depuis au moins 2013. L'opération semble être localisée, la plupart des cibles observées étant originaires du Vietnam, suivi des victimes d'Asie centrale et de Thaïlande. La plupart des entités attaquées opéraient dans les secteurs gouvernemental et militaire, mais des victimes ont également été observées dans les secteurs de la diplomatie, de la santé et de l'éducation.

Le nœud de l'opération est la livraison d'un nouveau cheval de Troie d'accès à distance (RAT) d'espionnage nommé FoundCore. La menace donne aux attaquants un contrôle presque total sur le système compromis. Il peut manipuler le système de fichiers, démarrer / arrêter des processus, prendre des captures d'écran ou exécuter des commandes arbitraires. Lorsque FoundCore est lancé, il crée quatre threads nuisibles différents, chacun responsable d'une tâche différente. Le premier a établi un mécanisme de persistance de la menace sur le système compromis. La seconde modifie certaines informations - la Description du service, ses champs ImagePath et DisplayName, pour le rendre plus discret. Ensuite, le troisième thread restreindra l'accès aux fichiers corrompus sous-jacents en définissant une liste de contrôle d'accès discrétionnaire (DACL) vide à l'image associée au processus en cours. Le dernier fil de FoundCore Malware est chargé d'établir la communication avec le serveur C2.

Dans le cadre de la chaîne d'infection, FoundCore a livré deux logiciels espions auxiliaires. Le premier, DropPhone, est capable de collecter diverses informations système de la machine infectée et de l'exfiltrer dans DropBox. La deuxième charge utile du malware était CoreLoader, une menace qui exécute du code conçu pour rendre le principal malware plus difficile à détecter par les produits de sécurité.

Tendance

Le plus regardé

Chargement...