BLODALKEMI Bagdør
Cybersikkerhedseksperter har for nylig opdaget et hemmeligt adgangspunkt, der bruges i cyberangreb mod statslige organer og organisationer, der tilhører Association of Southeast Asian Nations (ASEAN). Benævnt 'BLOODALKEMI' af disse eksperter, er denne hemmelige indgang specifikt rettet mod x86-systemer og er en del af REF5961-indtrængningsstrategien, som for nylig blev omfavnet af en gruppe med tilsyneladende forbindelser til Kina.
En indtrængningsstrategi refererer til sammenlægningen af anerkendte taktikker, metoder og værktøjer forbundet med et angreb, såvel som de bredere kampagner, disse angreb bidrager til. Typisk er disse indtrængen strategier ansat af en uidentificeret ensom angriber. Navnlig blev værktøjssættet forbundet med REF5961 også observeret i et tydeligt spionagefokuseret angreb mod Mongoliets regering.
Indholdsfortegnelse
BLODALKEMI-bagdøren er stadig under aktiv udvikling
BLOODALCHEMY er den friske bagdør ansat af operatørerne bag REF5961. På trods af involvering af dygtige malware-udviklere i dets skabelse, ser det ud til at være et projekt, der endnu ikke er helt modnet.
Selvom det fungerer som en funktionel malware-stamme og danner en af de tre nyligt afslørede malware-familier, der er dissekeret fra REF5961-operationerne, forbliver dens muligheder noget begrænsede.
Selvom det ikke er verificeret, antyder eksistensen af et begrænset antal effektive kommandoer muligheden for, at denne malware kan være en del af en større indtrængen strategi eller malware suite, der stadig er under udvikling, eller det kan være et yderst specialiseret stykke malware designet til en specifikke taktiske formål.
Flere persistensmekanismer afdækket i BLODALKEMI-bagdøren
Forskerne identificerede et begrænset sæt kritiske kommandoer i BLOODALCHEMY-malwaren. Disse kommandoer aktiverede forskellige funktioner såsom ændring af malware-værktøjssættet, eksekvering af malware-programmet, afinstallation og afslutning af det og indsamling af værtsoplysninger.
Afinstallationskommandoen viste sig at være særligt afslørende, da den afslørede de mange teknikker, som BLOODALCHEMY brugte til at opretholde vedholdenhed på det målrettede system. Denne bagdør etablerer dens vedholdenhed ved at duplikere sig selv i en udpeget mappe, typisk kaldet 'Test'. I denne mappe findes malware-binæren, mærket 'test.exe.' Valget af persistensmappen afhænger af niveauet af privilegier, der er givet til BLOODALCHEMY og kan være en af fire muligheder: ProgramFiles, ProgramFiles(x86), Appdata eller LocalAppData\Programs.
Desuden udviste BLOODALKEMI alsidighed i sine persistensmekanismer. Bemærkelsesværdige funktioner omfattede implementeringen af klassisk datamaskering gennem strengkryptering og yderligere sløringsteknikker. Malwaren fungerer også i forskellige tilstande baseret på dens konfiguration, kører i hovedtråden eller en separat, fungerer som en tjeneste eller injicerer en shell-kode efter at have startet en Windows-proces.
BLOODALCHEMY-bagdøren er en del af et større malware-værktøjssæt
BLOODALCHEMY er en del af REF5961-indtrængningssættet, som i sig selv indeholder tre nye malware-familier, der bruges i igangværende angreb. Disse malware-familier er siden blevet forbundet med tidligere angreb.
Malwareprøver i REF5961 er også blevet fundet i et tidligere indbrudssæt, REF2924, som menes at blive brugt i angreb på ASEAN-medlemmer, herunder det mongolske udenrigsministerium. De tre nye malware-familier af REF5961 er blevet kaldt EAGERBEE, RUDEBIRD og DOWNTOWN.
Fælles viktimologi, værktøj og henrettelsesstrømme observeret i flere kampagner mod ASEAN-medlemmer har fået forskere til at tro, at operatørerne af REF5961 er Kina-tilpassede.
