Threat Database Advanced Persistent Threat (APT) Golden Chickens Criminal Group

Golden Chickens Criminal Group

Golden Chickens est le nom attribué à un groupe de hackers criminels qui a réussi à s'imposer comme un fournisseur de premier plan de menaces de logiciels malveillants dans le cadre d'un programme MaaS (Malware-as-a-Service). L'efficacité de leurs outils malveillants et de leur infrastructure de commande et de contrôle (C2, C&C) a réussi à attirer même les groupes APT (Advanced Persistent Threat) en tant que clients. Golden Chickens propose leurs services sur des forums souterrains et leur arsenal comprend deux kits de construction nommés Venom et Taurus ainsi qu'une menace de Troie sophistiquée appelée more_eggs (Terra Loader, SpicyOmelette).

Produits malveillants de Golden Chickens

Le premier kit de construction proposé par Golden Chickens est VenomKit. Il s'agit d'un outil spécialisé qui permet aux auteurs de menaces de créer des documents RTF (Rich Text File) malveillants personnalisés. Plusieurs vulnérabilités différentes peuvent être exploitées en tant que point de brèche dans le système informatique de la cible, notamment CVE-2018-8174, CVE-2017-11882 et CVE-2018-0802. La charge utile de la deuxième étape peut être téléchargée à partir d'une ressource Web via des fichiers batch et scriptlet.

Le deuxième constructeur s'appelle Taurus Builder Kit. Il est utilisé pour créer des documents MS Word contenant du code de macro VBA (Visual Basic pour Application) malveillant. L'utilisation de cette méthode offre une plus grande chance d'éviter la détection par des solutions anti-malware, mais elle nécessite une interaction de la victime afin d'activer le code malveillant. Le code VBA est capable de télécharger et d'exécuter des charges utiles de logiciels malveillants supplémentaires en exploitant des outils Windows légitimes.

La porte dérobée more_eggs est une menace sophistiquée qui a été utilisée dans les opérations de plusieurs groupes APT tels que Evilnum, FIN6 et le groupe Cobalt. À la base, more_eggs est une porte dérobée JavaScript capable d'envoyer une balise à un serveur C2 et de récupérer des charges utiles de logiciels malveillants supplémentaires téléchargés à partir d'une ressource Web externe. More_eggs a plusieurs attributs qui peuvent être personnalisés en fonction des désirs du client tels que le serveur C2, les balises et les minuteries de veille, etc.

Tendance

Le plus regardé

Chargement...