专家揭开Golden Chickens恶意软件服务背后的策划者身份

网络安全研究人员发现了Golden Chickens恶意软件即服务背后的威胁行为者的真实身份，该攻击者的在线角色是“badbullzvenom”。

eSentire的威胁响应部门（TRU）在经过16个月的调查后发布的一份详尽报告中表示，它“发现多个人之间共享badbullzvenom帐户。第二个威胁行为者，被称为Frapstar，据说自称是“来自蒙特利尔的查克”，使网络安全公司能够拼凑犯罪行为者的数字足迹。

这包括他的真实姓名、照片、家庭住址、父母、兄弟姐妹和朋友的姓名，以及他的社交媒体账户和他的兴趣。据说他还是一家在自己家中经营的小企业的独资经营者。

Golden Chickens，也称为毒液蜘蛛，是一个恶意软件即服务 （MaaS） 提供商，它链接到各种工具，例如 Taurus Builder，用于创建恶意文档的软件;和 More_eggs，一个用于提供额外有效负载的 JavaScript 下载器。威胁行为者的网络武器库已被其他著名的网络犯罪集团（如钴集团（又名钴帮）、Evilnum 和 FIN6 等利用，据估计，所有这些集团总共造成了 1 亿美元的损失。

过去的More_eggs活动（有些可以追溯到 2017 年）涉及鱼叉式网络钓鱼业务专业人员，LinkedIn提供虚假的工作机会，让威胁行为者远程控制受害者的计算机，利用它来收集信息或部署更多恶意软件。

去年，在某种逆转中，采用了相同的策略来打击简历中充满恶意软件作为感染媒介的企业招聘经理。

Frapster活动的最早记录可以追溯到2015年<>月，当时趋势科技将该人描述为“孤独的罪犯”和豪华汽车爱好者。

“'查克'，他的地下论坛，社交媒体和Jabber帐户使用多个别名，以及声称来自摩尔多瓦的威胁演员，已经竭尽全力伪装自己，他们还煞费苦心地混淆了Golden Chickens恶意软件，试图使其无法被大多数AV公司检测到，并限制客户仅将Golden Chickens用于有针对性的攻击。

eSwhole 指出，怀疑查克是在 Exploit.in 地下论坛上运营 badbullzvenom 帐户的两个威胁行为者之一，另一方可能位于摩尔多瓦或罗马尼亚。

这家加拿大网络安全公司表示，它进一步发现了针对电子商务公司的新攻击活动，诱骗招聘人员从一个伪装成简历的网站下载流氓Windows快捷方式文件。该快捷方式是一种名为VenomLNK的恶意软件，可作为丢弃More_eggs或TerraLoader的初始访问载体，随后充当部署不同模块的渠道，即TerraRecon（用于受害者分析），TerraStealer（用于信息盗窃）和TerraCrypt（用于勒索软件勒索）。

恶意软件套件仍在积极开发中，并正在出售给其他威胁行为者。

原文始发于微信公众号（黑猫安全）：专家揭开Golden Chickens恶意软件服务背后的策划者身份