كيمياء الدم مستتر
اكتشف خبراء الأمن السيبراني مؤخرًا نقطة وصول سرية تُستخدم في الهجمات الإلكترونية ضد الهيئات الحكومية والمنظمات التابعة لرابطة دول جنوب شرق آسيا (ASEAN). يستهدف هذا المدخل السري، الذي أطلق عليه هؤلاء الخبراء اسم "BLOODALCHEMY"، أنظمة x86 على وجه التحديد وهو أحد مكونات استراتيجية التسلل REF5961، التي تبنتها مؤخرًا مجموعة لها صلات واضحة بالصين.
تشير استراتيجية التطفل إلى دمج التكتيكات والأساليب والأدوات المعروفة المرتبطة بالهجوم، بالإضافة إلى الحملات الأوسع التي تساهم فيها هذه الهجمات. عادة، يتم استخدام استراتيجيات التطفل هذه من قبل مهاجم منفرد مجهول الهوية. ومن الجدير بالذكر أن مجموعة الأدوات المرتبطة بـ REF5961 تمت ملاحظتها أيضًا في هجوم متميز يركز على التجسس ضد حكومة منغوليا.
جدول المحتويات
لا يزال BLOODALCHEMY Backdoor قيد التطوير النشط
BLOODALCHEMY هو الباب الخلفي الجديد الذي يستخدمه المشغلون وراء REF5961. وعلى الرغم من مشاركة مطوري البرمجيات الخبيثة المهرة في إنشائه، إلا أنه يبدو أنه مشروع لم ينضج بعد بشكل كامل.
على الرغم من أنها تعمل كسلالة برمجيات خبيثة وظيفية وتشكل إحدى عائلات البرامج الضارة الثلاث التي تم الكشف عنها مؤخرًا والتي تم تشريحها من عمليات REF5961، إلا أن قدراتها تظل مقيدة إلى حد ما.
على الرغم من أنه لم يتم التحقق منها، إلا أن وجود عدد محدود من الأوامر الفعالة يشير إلى احتمال أن تكون هذه البرامج الضارة أحد مكونات استراتيجية اقتحام أكبر أو مجموعة برامج ضارة لا تزال قيد التطوير، أو قد تكون قطعة متخصصة للغاية من البرامج الضارة المصممة لـ غرض تكتيكي محدد.
تم الكشف عن آليات الثبات المتعددة في الباب الخلفي لـ BLOODALCHEMY
حدد الباحثون مجموعة محدودة من الأوامر المهمة في البرنامج الخبيث BLOODALCHEMY. مكنت هذه الأوامر وظائف مختلفة مثل تعديل مجموعة أدوات البرامج الضارة، وتنفيذ برنامج البرامج الضارة، وإلغاء تثبيته وإنهائه، وجمع معلومات المضيف.
أثبت أمر إلغاء التثبيت أنه كاشف بشكل خاص لأنه كشف عن التقنيات العديدة المستخدمة في BLOODALCHEMY للحفاظ على ثبات النظام المستهدف. يؤسس هذا الباب الخلفي استمراريته عن طريق نسخ نفسه في مجلد معين، يُسمى عادةً "الاختبار". يوجد داخل هذا المجلد البرنامج الثنائي للبرامج الضارة، المسمى "test.exe". يعتمد اختيار مجلد الثبات على مستوى الامتيازات الممنوحة لـ BLOODALCHEMY ويمكن أن يكون واحدًا من أربعة احتمالات: ProgramFiles أو ProgramFiles(x86) أو Appdata أو LocalAppData\Programs.
علاوة على ذلك، أظهر BLOODALCHEMY تنوعًا في آليات الثبات الخاصة به. تضمنت الميزات البارزة تنفيذ إخفاء البيانات الكلاسيكي من خلال تشفير السلسلة وتقنيات التشويش الإضافية. تعمل البرامج الضارة أيضًا في أوضاع مختلفة بناءً على تكوينها، أو تعمل داخل سلسلة المحادثات الرئيسية أو سلسلة منفصلة، أو تعمل كخدمة، أو حقن كود القشرة بعد بدء عملية Windows.
يُعد BLOODALCHEMY Backdoor جزءًا من مجموعة أدوات أكبر للبرامج الضارة
يعد BLOODALCHEMY جزءًا من مجموعة التطفل REF5961، والتي تحتوي في حد ذاتها على ثلاث عائلات جديدة من البرامج الضارة المستخدمة في الهجمات المستمرة. ومنذ ذلك الحين تم ربط عائلات البرامج الضارة هذه بهجمات سابقة.
تم أيضًا العثور على عينات من البرامج الضارة في REF5961 في مجموعة اختراق سابقة، REF2924، والتي يُعتقد أنها تُستخدم في الهجمات على أعضاء رابطة دول جنوب شرق آسيا (ASEAN)، بما في ذلك وزارة الخارجية المنغولية. تم تسمية عائلات البرامج الضارة الثلاث الجديدة لـ REF5961 باسم EAGERBEE وRUDEBIRD وDOWNTOWN.
إن الضحايا المشتركين والأدوات وتدفقات التنفيذ التي لوحظت في الحملات المتعددة ضد أعضاء الآسيان دفعت الباحثين إلى الاعتقاد بأن مشغلي REF5961 متحالفون مع الصين.
