FoundCore Malware

Se ha descubierto una nueva campaña de ataques dirigidos realizada por un grupo APT (Advanced Persistent Threat) con probables vínculos con China. Se cree que los piratas informáticos responsables de la operación pertenecen al grupo Cycldek (también conocido como Goblin Panda, APT 27 y Conimes) que ha estado activo desde al menos 2013. La operación parece estar localizada y la mayoría de los objetivos observados son de Vietnam. seguido por las víctimas de Asia Central y Tailandia. La mayoría de las entidades atacadas operaban en los sectores gubernamental y militar, pero también se observaron víctimas en los sectores de diplomacia, salud y educación.

El meollo de la operación es la entrega de un nuevo troyano de acceso remoto de espionaje (RAT) llamado FoundCore. La amenaza les da a los atacantes un control casi total sobre el sistema comprometido. Puede manipular el sistema de archivos, iniciar / detener procesos, tomar capturas de pantalla o ejecutar comandos arbitrarios. Cuando se inicia FoundCore, crea cuatro subprocesos dañinos diferentes, cada uno responsable de una tarea diferente. El primero estableció un mecanismo de persistencia de la amenaza en el sistema comprometido. El segundo modifica cierta información: la Descripción del servicio, sus campos ImagePath y DisplayName, para que parezca más discreta. Luego, el tercer hilo restringirá el acceso a los archivos corruptos subyacentes configurando una Lista de control de acceso discrecional (DACL) vacía a la imagen asociada con el proceso actual. El hilo final de FoundCore Malware tiene la tarea de establecer comunicación con el servidor C2.

Como parte de la cadena de infección, FoundCore entregó dos piezas auxiliares de software espía. El primero, DropPhone, es capaz de recopilar diversa información del sistema de la máquina infectada y exfiltrarla a DropBox. La segunda carga útil de malware fue CoreLoader, una amenaza que ejecuta código diseñado para dificultar la detección del malware principal por parte de los productos de seguridad.