Πίσω πόρτα ΑΙΜΑΤΟΧΗΜΙΑΣ
Ειδικοί στον τομέα της κυβερνοασφάλειας ανακάλυψαν πρόσφατα ένα κρυφό σημείο πρόσβασης που χρησιμοποιείται σε κυβερνοεπιθέσεις εναντίον κυβερνητικών φορέων και οργανισμών που ανήκουν στην Ένωση Εθνών της Νοτιοανατολικής Ασίας (ASEAN). Ονομάζεται «BLOODALCHEMY» από αυτούς τους ειδικούς, αυτή η παράνομη είσοδος στοχεύει συγκεκριμένα συστήματα x86 και αποτελεί συστατικό της στρατηγικής εισβολής REF5961, που αγκάλιασε πρόσφατα μια ομάδα με προφανείς συνδέσεις με την Κίνα.
Μια στρατηγική εισβολής αναφέρεται στη συγχώνευση αναγνωρισμένων τακτικών, μεθόδων και εργαλείων που σχετίζονται με μια επίθεση, καθώς και στις ευρύτερες εκστρατείες στις οποίες συμβάλλουν αυτές οι επιθέσεις. Συνήθως, αυτές οι στρατηγικές εισβολής χρησιμοποιούνται από έναν αγνώστου ταυτότητας μοναχικό εισβολέα. Σημειωτέον, το σύνολο εργαλείων που σχετίζεται με το REF5961 παρατηρήθηκε επίσης σε μια ξεχωριστή επίθεση με επίκεντρο την κατασκοπεία κατά της κυβέρνησης της Μογγολίας.
Πίνακας περιεχομένων
Το BLOODALCHEMY Backdoor είναι ακόμα υπό ενεργή ανάπτυξη
Το BLOODALCHEMY είναι το φρέσκο backdoor που χρησιμοποιούν οι χειριστές πίσω από το REF5961. Παρά τη συμμετοχή ειδικευμένων προγραμματιστών κακόβουλου λογισμικού στη δημιουργία του, φαίνεται να είναι ένα έργο που δεν έχει ακόμη ωριμάσει πλήρως.
Ενώ λειτουργεί ως λειτουργικό στέλεχος κακόβουλου λογισμικού και αποτελεί μία από τις τρεις οικογένειες κακόβουλου λογισμικού που αποκαλύφθηκαν πρόσφατα και αποκόπηκαν από τις λειτουργίες REF5961, οι δυνατότητές του παραμένουν κάπως περιορισμένες.
Αν και δεν έχει επαληθευτεί, η ύπαρξη περιορισμένου αριθμού αποτελεσματικών εντολών υποδηλώνει την πιθανότητα ότι αυτό το κακόβουλο λογισμικό θα μπορούσε να είναι στοιχείο μιας ευρύτερης στρατηγικής εισβολής ή μιας σουίτας κακόβουλου λογισμικού που είναι ακόμη υπό ανάπτυξη ή μπορεί να είναι ένα εξαιρετικά εξειδικευμένο κομμάτι κακόβουλου λογισμικού σχεδιασμένο για συγκεκριμένος τακτικός σκοπός.
Πολλαπλοί Μηχανισμοί Εμμονής Αποκαλύφθηκαν στην Πίσω πόρτα BLOODALCHEMY
Οι ερευνητές εντόπισαν ένα περιορισμένο σύνολο κρίσιμων εντολών στο κακόβουλο λογισμικό BLOODALCHEMY. Αυτές οι εντολές επέτρεψαν διάφορες λειτουργίες, όπως την τροποποίηση του συνόλου εργαλείων κακόβουλου λογισμικού, την εκτέλεση του προγράμματος κακόβουλου λογισμικού, την απεγκατάσταση και τον τερματισμό του και τη συλλογή πληροφοριών κεντρικού υπολογιστή.
Η εντολή απεγκατάστασης αποδείχθηκε ιδιαίτερα αποκαλυπτική καθώς αποκάλυψε τις πολυάριθμες τεχνικές που χρησιμοποιούσε το BLOODALCHEMY για τη διατήρηση της επιμονής στο στοχευμένο σύστημα. Αυτή η κερκόπορτα εδραιώνει την επιμονή της αντιγράφοντας τον εαυτό της σε έναν καθορισμένο φάκελο, που συνήθως ονομάζεται "Test". Μέσα σε αυτόν τον φάκελο βρίσκεται το δυαδικό κακόβουλο λογισμικό, με την ένδειξη "test.exe". Η επιλογή του φακέλου persistence εξαρτάται από το επίπεδο των δικαιωμάτων που παραχωρούνται στο BLOODALCHEMY και μπορεί να είναι μία από τις τέσσερις δυνατότητες: ProgramFiles, ProgramFiles(x86), Appdata ή LocalAppData\Programs.
Επιπλέον, το BLOODALCHEMY επέδειξε ευελιξία στους μηχανισμούς εμμονής του. Τα αξιοσημείωτα χαρακτηριστικά περιελάμβαναν την εφαρμογή κλασικής κάλυψης δεδομένων μέσω κρυπτογράφησης συμβολοσειρών και πρόσθετων τεχνικών συσκότισης. Το κακόβουλο λογισμικό λειτουργεί επίσης σε διάφορους τρόπους με βάση τη διαμόρφωσή του, εκτελώντας μέσα στο κύριο νήμα ή σε ξεχωριστό, λειτουργώντας ως υπηρεσία ή εισάγοντας έναν κώδικα κελύφους μετά την εκκίνηση μιας διαδικασίας των Windows.
Το BLOODALCHEMY Backdoor είναι μέρος ενός μεγαλύτερου συνόλου εργαλείων κακόβουλου λογισμικού
Το BLOODALCHEMY είναι μέρος του συνόλου εισβολών REF5961, το οποίο περιέχει τρεις νέες οικογένειες κακόβουλου λογισμικού που χρησιμοποιούνται σε συνεχείς επιθέσεις. Αυτές οι οικογένειες κακόβουλου λογισμικού έκτοτε έχουν συνδεθεί με προηγούμενες επιθέσεις.
Δείγματα κακόβουλου λογισμικού στο REF5961 έχουν επίσης βρεθεί σε ένα προηγούμενο σετ εισβολής, το REF2924, το οποίο πιστεύεται ότι χρησιμοποιείται σε επιθέσεις σε μέλη του ASEAN, συμπεριλαμβανομένου του Υπουργείου Εξωτερικών της Μογγολίας. Οι τρεις νέες οικογένειες κακόβουλου λογισμικού του REF5961 ονομάζονται EAGERBEE, RUDEBIRD και DOWNTOWN.
Οι κοινές ροές θυματολογίας, εργαλείων και εκτέλεσης που παρατηρήθηκαν σε πολλαπλές εκστρατείες εναντίον μελών του ASEAN οδήγησαν τους ερευνητές να πιστέψουν ότι οι χειριστές του REF5961 είναι ευθυγραμμισμένοι με την Κίνα.
