Kuldkanade kriminaalrühm

Golden Chickens on nimi, mis on omistatud kuritegelikule häkkerirühmale, kes on suutnud end MaaS-i (Malware-as-a-Service) skeemis kehtestada silmapaistva pahavaraohtude pakkujana. Nende pahatahtlike tööriistade ja Command-and-Control (C2, C&C) infrastruktuuri tõhusus on suutnud meelitada oma klientideks isegi APT (Advanced Persistent Threat) rühmi. Golden Chickens pakuvad oma teenuseid maa-alustel foorumitel ja nende arsenalis on kaks ehituskomplekti nimega Venom ja Taurus ning keerukas tagaukse trooja oht nimega more_eggs (Terra Loader, SpicyOmelette).

Golden Chickensi pahatahtlikud tooted

Esimene Golden Chickensi pakutav ehituskomplekt on VenomKit. See on spetsiaalne tööriist, mis võimaldab ohus osalejatel koostada kohandatud pahatahtlikke Rich Text File (RTF) dokumente. Sihtmärgi arvutisüsteemi sissemurdmispunktina saab ära kasutada mitmeid erinevaid turvaauke, sealhulgas CVE-2018-8174, CVE-2017-11882 ja CVE-2018-0802. Teise etapi kasuliku koormuse saab alla laadida veebiressursist partii- ja skriptifailide kaudu.

Teine ehitaja kannab nime Taurus Builder Kit. Seda kasutatakse pahatahtlikku VBA (Visual Basic for Application) makrokoodi sisaldavate MS Wordi dokumentide loomiseks. Selle meetodi kasutamine annab suurema võimaluse vältida pahavaratõrjelahenduste tuvastamist, kuid see nõuab pahatahtliku koodi lubamiseks ohvri sekkumist. VBA-kood on võimeline alla laadima ja käivitama täiendavat pahavara kasulikku koormust, kasutades selleks seaduslikke Windowsi tööriistu. More_eggs tagauks on keerukas oht, mida on kasutatud mitme APT grupi, nagu Evilnum , FIN6 ja Cobalt Group, tegevuses . Oma tuumaks on more_eggs JavaScripti tagauks, mis on võimeline saatma majaka C2-serverile ja hankima välisest veebiressursist alla laaditud täiendavaid lõppstaadiumis pahavara kasulikke koormusi. More_eggsil on mitu atribuuti, mida saab kohandada vastavalt kliendi soovidele, näiteks C2 server, majakas ja unetaimerid ja palju muud.