Golden Chickens Criminal Group

Golden Chickens ist der Name einer kriminellen Hacker-Gruppe, die es geschafft hat, sich als führender Anbieter von Malware-Bedrohungen in einem MaaS-Programm (Malware-as-a-Service) zu etablieren. Die Effektivität ihrer bösartigen Tools und der Command-and-Control-Infrastruktur (C2, C & C) hat es geschafft, sogar APT-Gruppen (Advanced Persistent Threat) als Kunden zu gewinnen. Golden Chickens bieten ihre Dienste in unterirdischen Foren an. Ihr Arsenal umfasst zwei Baukästen mit den Namen Venom und Taurus sowie eine ausgeklügelte Trojaner-Bedrohung mit Hintertür namens more_eggs (Terra Loader, SpicyOmelette).

Bösartige Produkte von Goldenen Hühnern

Das erste von Golden Chickens angebotene Builder-Kit ist VenomKit. Es ist ein spezialisiertes Tool, mit dem Bedrohungsakteure benutzerdefinierte bösartige Rich Text File (RTF) -Dokumente erstellen können. Verschiedene Anfälligkeiten können als Sicherheitslücke im Computersystem des Ziels ausgenutzt werden, darunter CVE-2018-8174, CVE-2017-11882 und CVE-2018-0802. Die Nutzdaten der zweiten Stufe können über Batch- und Scriptlet-Dateien von einer Webressource heruntergeladen werden.

Der zweite Builder heißt Taurus Builder Kit. Es wird zum Erstellen von MS Word-Dokumenten verwendet, die schädlichen VBA-Makrocode (Visual Basic for Application) enthalten. Die Verwendung dieser Methode bietet eine höhere Wahrscheinlichkeit, die Erkennung durch Anti-Malware-Lösungen zu vermeiden, erfordert jedoch die Interaktion des Opfers, um den Schadcode zu aktivieren. Der VBA-Code kann zusätzliche Malware-Nutzdaten herunterladen und ausführen, indem legitime Windows-Tools ausgenutzt werden.

Die more_eggs-Hintertür ist eine hoch entwickelte Bedrohung, die im Betrieb mehrerer APT-Gruppen wie Evilnum, FIN6 und der Cobalt Group eingesetzt wurde. More_eggs ist im Kern eine JavaScript-Backdoor, mit der ein Beacon an einen C2-Server gesendet und zusätzliche Malware-Nutzdaten der Endphase abgerufen werden können, die von einer externen Webressource heruntergeladen wurden. More_eggs verfügt über mehrere Attribute, die an die Wünsche des Clients angepasst werden können, z. B. den C2-Server, Beacon- und Sleep-Timer und mehr.