FoundCoreマルウェア

中国と関係がある可能性が高いAPT（Advanced Persistent Threat）グループによって実施された新しい標的型攻撃キャンペーンが明らかになりました。作戦を担当するハッカーは、少なくとも2013年から活動しているCycldekグループ（別名Goblin Panda、 APT 27、およびConimes）に属していると考えられています。続いて中央アジアとタイからの犠牲者。攻撃されたエンティティのほとんどは政府および軍事部門で活動していましたが、犠牲者は外交、医療、教育部門でも観察されました。

操作の核心は、FoundCoreという名前の新しいスパイリモートアクセストロイの木馬（RAT）の配信です。この脅威により、攻撃者は侵害されたシステムをほぼ完全に制御できるようになります。ファイルシステムの操作、プロセスの開始/停止、スクリーンショットの撮影、または任意のコマンドの実行が可能です。 FoundCoreが開始されると、4つの異なる有害なスレッドが作成され、それぞれが異なるタスクを担当します。 1つ目は、侵害されたシステムに対する脅威の永続化メカニズムを確立しました。 2つ目は、特定の情報（サービスの説明、そのImagePath、およびDisplayNameフィールド）を変更して、目立たないようにします。次に、3番目のスレッドは、現在のプロセスに関連付けられているイメージに空の随意アクセス制御リスト（DACL）を設定することにより、基になる破損ファイルへのアクセスを制限します。 FoundCoreマルウェアの最後のスレッドは、C2サーバーとの通信を確立する役割を果たします。

感染チェーンの一部として、FoundCoreは2つの補助的なスパイウェアを提供しました。最初のDropPhoneは、感染したマシンからさまざまなシステム情報を収集し、それをDropBoxに盗み出すことができます。 2番目のマルウェアペイロードはCoreLoaderでした。これは、セキュリティ製品による検出を困難にするように設計されたコードを実行する脅威です。