BLOODALCHEMY Backdoor
Експертите по киберсигурност наскоро откриха скрита точка за достъп, използвана при кибератаки срещу правителствени органи и организации, принадлежащи към Асоциацията на нациите от Югоизточна Азия (АСЕАН). Наречен „BLOODALCHEMY“ от тези експерти, този нелегален вход е насочен специално към x86 системи и е компонент на стратегията за проникване REF5961, наскоро приета от група с очевидни връзки с Китай.
Стратегията за проникване се отнася до обединяването на признати тактики, методи и инструменти, свързани с атака, както и по-широките кампании, за които тези атаки допринасят. Обикновено тези стратегии за проникване се използват от неидентифициран самотен нападател. Трябва да се отбележи, че наборът от инструменти, свързан с REF5961, също беше наблюдаван при ясно насочено към шпионаж нападение срещу правителството на Монголия.
Съдържание
Задната вратичка BLOODALCHEMY все още е в процес на активно разработване
BLOODALCHEMY е новата задна врата, използвана от операторите зад REF5961. Въпреки участието на квалифицирани разработчици на зловреден софтуер в създаването му, изглежда, че това е проект, който все още не е напълно узрял.
Въпреки че функционира като функционален вид злонамерен софтуер и формира едно от трите наскоро разкрити семейства злонамерен софтуер, разчленени от операциите REF5961, неговите възможности остават донякъде ограничени.
Въпреки че не е проверено, съществуването на ограничен брой ефективни команди подсказва възможността този злонамерен софтуер да е компонент на по-голяма стратегия за проникване или пакет от злонамерен софтуер, който все още е в процес на разработка, или може да е изключително специализирана част от злонамерен софтуер, предназначен за конкретна тактическа цел.
Множество механизми за устойчивост, разкрити в задната вратичка BLOODALCHEMY
Изследователите идентифицираха ограничен набор от критични команди в зловреден софтуер BLOODALCHEMY. Тези команди активираха различни функции като модифициране на набора от инструменти за злонамерен софтуер, изпълнение на програмата за злонамерен софтуер, нейното деинсталиране и прекратяване и събиране на информация за хоста.
Командата за деинсталиране се оказа особено показателна, тъй като разкри многобройните техники, използвани от BLOODALCHEMY за поддържане на устойчивост на целевата система. Тази задна врата установява своята устойчивост, като се дублира в определена папка, обикновено наречена „Тест“. В тази папка се намира двоичният файл на зловреден софтуер, означен като „test.exe“. Изборът на папката за постоянство зависи от нивото на привилегиите, предоставени на BLOODALCHEMY, и може да бъде една от четирите възможности: ProgramFiles, ProgramFiles(x86), Appdata или LocalAppData\Programs.
Освен това, BLOODALCHEMY показа гъвкавост в своите механизми за устойчивост. Забележителните функции включват прилагането на класическо маскиране на данни чрез криптиране на низове и допълнителни техники за обфускация. Злонамереният софтуер също работи в различни режими въз основа на конфигурацията си, като работи в рамките на основната нишка или отделна, функционира като услуга или инжектира shellcode след стартиране на процес на Windows.
Задната врата на BLOODALCHEMY е част от по-голям набор от инструменти за зловреден софтуер
BLOODALCHEMY е част от набора за проникване REF5961, който сам по себе си съдържа три нови семейства зловреден софтуер, използвани в текущи атаки. Тези семейства зловреден софтуер оттогава са свързани с предишни атаки.
Проби от злонамерен софтуер в REF5961 също бяха открити в предишен набор за проникване, REF2924, за който се смята, че се използва при атаки срещу членове на АСЕАН, включително монголското министерство на външните работи. Трите нови семейства зловреден софтуер на REF5961 се наричат EAGERBEE, RUDEBIRD и DOWNTOWN.
Общата виктимология, инструменти и потоци на изпълнение, наблюдавани в множество кампании срещу членове на АСЕАН, накараха изследователите да вярват, че операторите на REF5961 са свързани с Китай.
