Het cyberbeveiligingsbedrijf eSentire heeft onlangs een belangrijke doorbraak bereikt bij de identificatie van de tweede bedreigende actor achter de Golden Chickens-malware. Deze ontdekking was het gevolg van een ernstige operationele veiligheidsblunder van de persoon, “Jack” genoemd, die in Boekarest, Roemenië, woont. Samen met een andere crimineel, bekend als “Chuck uit Montreal”, beheerde Jack een account op het forum Exploit.in onder de schuilnaam “badbullzvenom”.
De onderzoekers van eSentire, beschrijven Jack als het ware brein achter de Golden Chickens malware. Verrassend genoeg blijkt uit door het Canadese bedrijf ontdekt bewijsmateriaal dat Jack ook te boek staat als eigenaar van een import- en exportbedrijf voor groenten en fruit, waardoor een onverwachte laag aan zijn criminele activiteiten wordt toegevoegd.
Om niet ontdekt te worden, gebruikt Jack meerdere aliassen op ondergrondse fora, sociale media en Jabber-accounts. Hij heeft veel moeite gedaan om de Golden Chickens-malware te verdoezelen, met als doel deze ondetecteerbaar te maken voor de meeste antivirusbedrijven. De toegang tot de Golden Chickens Malware-as-a-Service (MaaS) is strikt beperkt tot een klein aantal klanten.
Golden Chickens, ook bekend als More_eggs, is een malwarepakket dat wordt gebruikt door financieel gemotiveerde cybercriminelen zoals Cobalt Group en FIN6. Deze malware is uitgerust met verschillende componenten die zijn ontworpen om financiële informatie te verzamelen, de laterale beweging uit te voeren en zelfs een ransomware plugin genaamd TerraCrypt te implementeren.
Het onderzoek van eSentire naar de online activiteiten van Jack onthult een geschiedenis die teruggaat tot 2008, toen hij nog maar 15 jaar oud was. In die tijd sloot hij zich als beginnend lid aan bij meerdere cybercriminele fora onder verschillende aliassen die gezamenlijk als LUCKY werden getraceerd. In de loop der jaren ontwikkelde Jack zich van een ambitieuze tienerprogrammeur die geïnteresseerd was in het maken van kwaadaardige programma’s tot een ervaren hacker die zich bezighield met het ontwikkelen van wachtwoordstelers, crypters en More_eggs.
Lees ook: “CopperStealer Malware Crew keert terug met Geavanceerde Rootkit en Phishing Kit Modules”.
n 2008 introduceerde Jack GHOST, een crypter waarmee andere actoren malware konden versleutelen en verdoezelen om opsporing te voorkomen. Door de tragische dood van zijn vader bij een auto-ongeluk in 2010 stopte hij echter met de ontwikkeling van dit instrument.
In een forumbericht van april 2012 noemde hij een verhuizing naar Pakistan om voor de regering te gaan werken als beveiligingsspecialist, waarmee hij zinspeelde op mogelijke connecties daar.
Hoewel het onduidelijk blijft of Jack uiteindelijk naar Pakistan is verhuisd, heeft eSentire tactische overlappingen vastgesteld tussen een campagne uit 2019 van een Pakistaanse dreigingsactor genaamd SideCopy en de VenomLNK-malware van Jack. De VenomLNK-malware dient als initiële toegangsvector voor de More_eggs-backdoor.
In 2017 bracht badbullzvenom (aka LUCKY) VenomKit uit, dat uiteindelijk uitgroeide tot de Golden Chickens MaaS. Het vermogen van de malware om detectie te ontwijken trok de aandacht van de Cobalt Group, een Russische cybercriminele bende die het gebruikte bij aanvallen op financiële entiteiten met behulp van Cobalt Strike.
Twee jaar later nam FIN6, een andere financieel gemotiveerde bedreigingsfactor, ook de Golden Chickens-dienst over om inbraken op betaalautomaten van detailhandelaren in Europa en de Verenigde Staten te vergemakkelijken.
Het onderzoek van eSentire naar de identiteit van Jack bracht ook informatie over zijn persoonlijke leven aan het licht, waaronder de identiteit van zijn vrouw, moeder en twee zussen. Het lijkt erop dat hij en zijn vrouw in een welvarende wijk van Boekarest wonen, zoals blijkt uit de sociale media-accounts van zijn vrouw waarop hun reizen naar steden als Londen, Parijs en Milaan te zien zijn, vergezeld van foto’s waarop zij designerkleding en -accessoires dragen.
De onderzoekers van eSentire beweren dat Jacks fatale fout plaatsvond toen hij de Jabber-account gebruikte, wat er uiteindelijk toe leidde dat zijn identiteit bekend werd.
0 Comments