Mehrgerätelizenzen (Mengenrabatte)

Region ändern

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Malware FoundCore Malware

FoundCore Malware

Von Mezo in Malware
Übersetzen Sie in:
Deutsch

Eine neue gezielte Angriffskampagne einer APT-Gruppe (Advanced Persistent Threat) mit wahrscheinlichen Verbindungen zu China wurde aufgedeckt. Es wird angenommen, dass die für die Operation verantwortlichen Hacker der Cycldek-Gruppe (auch bekannt als Goblin Panda, APT 27 und Conimes) angehören, die seit mindestens 2013 aktiv ist. Die Operation scheint lokalisiert zu sein, wobei die meisten beobachteten Ziele aus Vietnam stammen. gefolgt von Opfern aus Zentralasien und Thailand. Die meisten der angegriffenen Einheiten waren im Regierungs- und Militärsektor tätig, aber die Opfer wurden auch in den Bereichen Diplomatie, Gesundheitswesen und Bildung beobachtet.

Der Kern der Operation ist die Lieferung eines neuen Spionage-Fernzugriffstrojaners (RAT) namens FoundCore. Die Bedrohung gibt den Angreifern nahezu die volle Kontrolle über das gefährdete System. Es kann das Dateisystem manipulieren, Prozesse starten / stoppen, Screenshots machen oder beliebige Befehle ausführen. Wenn FoundCore gestartet wird, werden vier verschiedene schädliche Threads erstellt, die jeweils für eine andere Aufgabe verantwortlich sind. Der erste etablierte einen Persistenzmechanismus für die Bedrohung des gefährdeten Systems. Mit der zweiten Option werden bestimmte Informationen geändert - die Beschreibung des Dienstes, die Felder ImagePath und DisplayName, damit sie unauffälliger erscheinen. Anschließend beschränkt der dritte Thread den Zugriff auf die zugrunde liegenden beschädigten Dateien, indem er eine leere DACL (Discretionary Access Control List) für das dem aktuellen Prozess zugeordnete Image erstellt. Der letzte Thread von FoundCore Malware hat die Aufgabe, die Kommunikation mit dem C2-Server herzustellen.

Als Teil der Infektionskette lieferte FoundCore zwei zusätzliche Spyware-Teile. Das erste, DropPhone, kann verschiedene Systeminformationen vom infizierten Computer sammeln und in DropBox filtern. Die zweite Nutzlast für Malware war CoreLoader, eine Bedrohung, die Code ausführt, der die Erkennung der wichtigsten Malware durch Sicherheitsprodukte erschwert.

Im Trend

Am häufigsten gesehen

Wird geladen...