Golden Chickens Criminal Group

Golden Chickens Criminal Group 説明

Golden Chickensは、MaaS(Malware-as-a-Service)スキームでマルウェア脅威の著名なプロバイダーとしての地位を確立した犯罪ハッカーグループに割り当てられた名前です。悪意のあるツールとコマンドアンドコントロール(C2、C&C)インフラストラクチャの有効性により、APT(Advanced Persistent Threat)グループでさえもクライアントとして引き付けることができました。ゴールデンチキンは地下フォーラムでサービスを提供しており、その兵器庫には、VenomとTaurusという名前の2つの構築キットと、more_eggs(Terra Loader、SpicyOmelette)と呼ばれる洗練されたバックドアトロイの木馬の脅威が含まれています。

ゴールデンチキンの悪意のある製品

GoldenChickensが提供する最初のビルダーキットはVenomKitです。これは、脅威の攻撃者がカスタムの悪意のあるリッチテキストファイル(RTF)ドキュメントを作成できるようにする特殊なツールです。 CVE-2018-8174、CVE-2017-11882、CVE-2018-0802など、いくつかの異なる脆弱性がターゲットのコンピューターシステムへの侵入ポイントとして悪用される可能性があります。第2段階のペイロードは、バッチファイルとスクリプトレットファイルを介してWebリソースからダウンロードできます。

2番目のビルダーはTaurusBuilderKitと呼ばれます。これは、悪意のあるVBA(Visual Basic for Application)マクロコードを含むMSWord文書を作成するために使用されます。この方法を使用すると、マルウェア対策ソリューションによる検出を回避する可能性が高くなりますが、悪意のあるコードを有効にするには、被害者からの対話が必要になります。 VBAコードは、正規のWindowsツールを悪用することにより、追加のマルウェアペイロードをダウンロードして実行することができます。

more_eggsバックドアは、Evilnum、FIN6、CobaltGroupなどの複数のAPTグループの運用で採用されている高度な脅威です。中核となるmore_eggsは、C2サーバーにビーコンを送信し、外部Webリソースからダウンロードされた追加の最終段階のマルウェアペイロードをフェッチできるJavaScriptバックドアです。 More_eggsには、C2サーバー、ビーコンおよびスリープタイマーなど、クライアントの要望に応じてカスタマイズできるいくつかの属性があります。