VEREALKEEMIA Tagauks
Küberjulgeoleku eksperdid avastasid hiljuti salajase juurdepääsupunkti, mida kasutatakse Kagu-Aasia Rahvaste Ühendusse (ASEAN) kuuluvate valitsusasutuste ja organisatsioonide vastu suunatud küberrünnakutes. Nende ekspertide poolt BLOODALCHEMY-ks nimetatud salajane sissepääs on suunatud konkreetselt x86 süsteemidele ja on osa REF5961 sissetungistrateegiast, mille hiljuti omaks võttis rühm, kellel on ilmsed sidemed Hiinaga.
Sissetungistrateegia viitab rünnakuga seotud tunnustatud taktikate, meetodite ja tööriistade ühendamisele, samuti laiematele kampaaniatele, millele need rünnakud kaasa aitavad. Tavaliselt kasutab neid sissetungimise strateegiaid tundmatu üksildane ründaja. REF5961-ga seotud tööriistakomplekti täheldati ka selgelt spionaažile keskendunud rünnakus Mongoolia valitsuse vastu.
Sisukord
BLOODALCHEMY tagauks on endiselt aktiivses arenduses
BLOODALCHEMY on uus tagauks, mida kasutavad REF5961 taga olevad operaatorid. Vaatamata sellele, et selle loomisel osalesid kogenud pahavara arendajad, näib see olevat projekt, mis pole veel täielikult küpsenud.
Kuigi see toimib funktsionaalse pahavara tüvena ja moodustab ühe kolmest hiljuti paljastatud pahavara perekonnast, mis on REF5961 operatsioonidest eraldatud, jäävad selle võimalused mõnevõrra piiratuks.
Kuigi seda pole kontrollitud, viitab piiratud arvu tõhusate käskude olemasolu võimalusele, et see pahavara võib olla osa suuremast sissetungistrateegiast või pahavarakomplektist, mis on alles väljatöötamisel, või võib see olla väga spetsialiseerunud pahavara, mis on loodud konkreetne taktikaline eesmärk.
BLOODALCHEMY tagaukses avastati mitu püsivusmehhanismi
Teadlased tuvastasid pahavaras BLOODALCHEMY piiratud hulga kriitilisi käske. Need käsud võimaldasid mitmesuguseid funktsioone, nagu pahavara tööriistakomplekti muutmine, pahavaraprogrammi käivitamine, selle desinstallimine ja lõpetamine ning hostiteabe kogumine.
Desinstallimiskäsk osutus eriti paljastavaks, kuna see tutvustas arvukalt BLOODALCHEMY tehnikaid, mida kasutati sihitud süsteemi püsivuse säilitamiseks. See tagauks tagab oma püsivuse, dubleerides end selleks määratud kausta, mille nimi on tavaliselt "Test". Selles kaustas asub ründevara binaarfail nimega "test.exe". Püsikausta valik sõltub ettevõttele BLOODALCHEMY antud õiguste tasemest ja see võib olla üks neljast võimalusest: ProgramFiles, ProgramFiles(x86), Appdata või LocalAppData\Programs.
Lisaks näitas BLOODALCHEMY oma püsivusmehhanismide mitmekülgsust. Märkimisväärsed funktsioonid hõlmasid klassikalise andmete maskeerimise rakendamist stringi krüptimise ja täiendavate hägusustehnikate abil. Pahavara töötab ka erinevates režiimides, lähtudes selle konfiguratsioonist, töötades põhilõime sees või eraldi, toimides teenusena või sisestades shellkoodi pärast Windowsi protsessi käivitamist.
BLOODALCHEMY tagauks on osa suuremast pahavara tööriistakomplektist
BLOODALCHEMY on osa REF5961 sissetungikomplektist, mis ise sisaldab kolme uut pahavara perekonda, mida kasutatakse käimasolevates rünnakutes. Neid pahavaraperekondi on sellest ajast alates seostatud varasemate rünnakutega.
REF5961 pahavara näidised on leitud ka varasemast sissetungimise komplektist REF2924, mida arvatakse olevat kasutatud ASEANi liikmete, sealhulgas Mongoolia välisministeeriumi rünnakutes. REF5961 kolme uut pahavaraperekonda on nimetatud EAGERBEE, RUDEBIRD ja DOWNTOWN.
ASEANi liikmete vastu suunatud kampaaniates täheldatud ühised viktimoloogia, tööriistade ja täideviimise vood on pannud teadlased uskuma, et REF5961 operaatorid on Hiinaga kooskõlas.
