BLOODALCHEMY Backdoor
Odborníci na kybernetickou bezpečnost nedávno objevili skrytý přístupový bod používaný při kyberútocích proti vládním orgánům a organizacím patřícím do Sdružení národů jihovýchodní Asie (ASEAN). Tento tajný vchod, který tito odborníci nazvali 'BLOODALCHEMY', se specificky zaměřuje na systémy x86 a je součástí strategie narušení REF5961, kterou nedávno přijala skupina se zjevnými vazbami na Čínu.
Strategie narušení se týká spojení uznávaných taktik, metod a nástrojů spojených s útokem, stejně jako širších kampaní, ke kterým tyto útoky přispívají. Tyto strategie narušení obvykle používá neidentifikovaný osamělý útočník. Pozoruhodné je, že sada nástrojů spojená s REF5961 byla také pozorována při zřetelném útoku zaměřeném na špionáž proti vládě Mongolska.
Obsah
Backdoor BLOODALCHEMY je stále ve vývoji
BLOODALCHEMY je nová zadní vrátka, kterou používají operátoři za REF5961. Navzdory zapojení zkušených vývojářů malwaru do jeho tvorby se zdá, že jde o projekt, který ještě není plně vyzrálý.
I když funguje jako funkční kmen malwaru a tvoří jednu ze tří nedávno odhalených rodin malwaru pitvaných z operací REF5961, jeho schopnosti zůstávají poněkud omezené.
Ačkoli to není ověřeno, existence omezeného počtu účinných příkazů naznačuje možnost, že by tento malware mohl být součástí větší strategie narušení nebo sady malwaru, která je stále ve vývoji, nebo by se mohlo jednat o mimořádně specializovaný malware určený pro konkrétní taktický účel.
V zadních vrátkách BLOODALCHEMY odkryto několik mechanismů vytrvalosti
Výzkumníci identifikovali omezenou sadu kritických příkazů v malwaru BLOODALCHEMY. Tyto příkazy umožňovaly různé funkce, jako je úprava sady malwarových nástrojů, spuštění malwarového programu, jeho odinstalace a ukončení a shromažďování informací o hostiteli.
Příkaz k odinstalaci se ukázal jako obzvláště objevný, protože odhalil četné techniky BLOODALCHEMY používané k udržení perzistence na cílovém systému. Tato zadní vrátka ustavují svou perzistenci duplikací do určené složky, obvykle pojmenované „Test“. V této složce se nachází binární soubor malwaru označený jako „test.exe“. Výběr složky persistence závisí na úrovni oprávnění udělených BLOODALCHEMY a může být jednou ze čtyř možností: ProgramFiles, ProgramFiles(x86), Appdata nebo LocalAppData\Programs.
Navíc BLOODALCHEMY vykazovala všestrannost ve svých mechanismech perzistence. Mezi pozoruhodné funkce patřila implementace klasického maskování dat pomocí šifrování řetězců a dalších technik zatemnění. Malware také funguje v různých režimech podle své konfigurace, běží v rámci hlavního vlákna nebo samostatného vlákna, funguje jako služba nebo vkládá shell kód po spuštění procesu Windows.
Backdoor BLOODALCHEMY je součástí větší sady malwarových nástrojů
BLOODALCHEMY je součástí sady narušení REF5961, která sama o sobě obsahuje tři nové rodiny malwaru používané v probíhajících útocích. Tyto rodiny malwaru byly od té doby spojeny s předchozími útoky.
Vzorky malwaru v REF5961 byly také nalezeny v předchozí sadě narušení REF2924, o které se předpokládá, že byla použita při útocích na členy ASEAN, včetně mongolského ministerstva zahraničních věcí. Tři nové rodiny malwaru REF5961 byly nazvány EAGERBEE, RUDEBIRD a DOWNTOWN.
Společná viktimologie, nástroje a toky provádění pozorované v mnoha kampaních proti členům ASEAN vedly výzkumníky k domněnce, že provozovatelé REF5961 jsou orientovaní na Čínu.
