BLOODALCHEMY Porta del darrere
Els experts en ciberseguretat han descobert recentment un punt d'accés encobert emprat en ciberatacs contra organismes i organitzacions governamentals que pertanyen a l'Associació de Nacions del Sud-est Asiàtic (ASEAN). Anomenada "BLOODALCHEMY" per aquests experts, aquesta entrada clandestina s'adreça específicament als sistemes x86 i és un component de l'estratègia d'intrusió REF5961, adoptada recentment per un grup amb connexions aparents amb la Xina.
Una estratègia d'intrusió fa referència a la combinació de tàctiques, mètodes i eines reconegudes associades a un atac, així com a les campanyes més àmplies a les quals contribueixen aquests atacs. Normalment, aquestes estratègies d'intrusió són utilitzades per un atacant solitari no identificat. En particular, el conjunt d'eines associat amb REF5961 també es va observar en un assalt diferent centrat en l'espionatge contra el govern de Mongòlia.
Taula de continguts
La porta posterior de BLOODALCHEMY encara està en desenvolupament actiu
BLOODALCHEMY és la nova porta del darrere emprada pels operadors darrere de REF5961. Malgrat la implicació de desenvolupadors de programari maliciós especialitzats en la seva creació, sembla ser un projecte que encara no està completament madur.
Tot i que funciona com una soca de programari maliciós funcional i forma una de les tres famílies de programari maliciós revelades recentment que es van disseccionar a partir de les operacions REF5961, les seves capacitats continuen una mica restringides.
Tot i que no s'ha verificat, l'existència d'un nombre limitat d'ordres efectives indica la possibilitat que aquest programari maliciós pugui ser un component d'una estratègia d'intrusió més gran o una suite de programari maliciós que encara estigui en desenvolupament, o que pugui ser una peça de programari maliciós molt especialitzada dissenyada per a un finalitat tàctica específica.
Múltiples mecanismes de persistència descoberts a la porta del darrere de BLOODALCHEMY
Els investigadors van identificar un conjunt limitat d'ordres crítiques al programari maliciós BLOODALCHEMY. Aquestes ordres van habilitar diverses funcions, com ara modificar el conjunt d'eines de programari maliciós, executar el programa de programari maliciós, desinstal·lar-lo i finalitzar-lo i recopilar informació de l'amfitrió.
L'ordre de desinstal·lació va resultar especialment revelador, ja que va donar a conèixer les nombroses tècniques que BLOODALCHEMY utilitzava per mantenir la persistència al sistema de destinació. Aquesta porta del darrere estableix la seva persistència duplicant-se en una carpeta designada, normalment anomenada "Prova". Dins d'aquesta carpeta hi ha el binari de programari maliciós, etiquetat com "test.exe". L'elecció de la carpeta de persistència depèn del nivell de privilegis concedits a BLOODALCHEMY i pot ser una de les quatre possibilitats: ProgramFiles, ProgramFiles(x86), Appdata o LocalAppData\Programs.
A més, BLOODALCHEMY va mostrar versatilitat en els seus mecanismes de persistència. Les característiques notables inclouen la implementació de l'emmascarament de dades clàssic mitjançant el xifratge de cadenes i tècniques d'ofuscació addicionals. El programari maliciós també funciona en diversos modes en funció de la seva configuració, s'executa dins del fil principal o un de separat, funciona com a servei o injecta un codi d'intèrpret d'ordres després d'iniciar un procés de Windows.
La porta posterior de BLOODALCHEMY forma part d'un conjunt d'eines de programari maliciós més gran
BLOODALCHEMY forma part del conjunt d'intrusions REF5961, que conté tres noves famílies de programari maliciós que s'utilitzen en atacs en curs. Des de llavors, aquestes famílies de programari maliciós s'han relacionat amb atacs anteriors.
També s'han trobat mostres de programari maliciós a REF5961 en un conjunt d'intrusions anterior, REF2924, que es creu que s'utilitza en atacs contra membres de l'ASEAN, inclòs el Ministeri d'Afers Exteriors de Mongòlia. Les tres noves famílies de programari maliciós de REF5961 s'han anomenat EAGERBEE, RUDEBIRD i DOWNTOWN.
Els fluxos comuns de victimologia, eines i execució observats en diverses campanyes contra membres de l'ASEAN han fet creure als investigadors que els operadors de REF5961 estan alineats amb la Xina.
