BLOODALCHEMY Backdoor

کارشناسان امنیت سایبری اخیراً یک نقطه دسترسی مخفی را کشف کرده‌اند که در حملات سایبری علیه ارگان‌ها و سازمان‌های دولتی متعلق به انجمن کشورهای جنوب شرقی آسیا (ASEAN) استفاده می‌شود. این ورودی مخفی که توسط این متخصصان "BLOODALCHEMY" نامیده می شود، به طور خاص سیستم های x86 را هدف قرار می دهد و جزئی از استراتژی نفوذ REF5961 است که اخیرا توسط گروهی با ارتباطات ظاهری با چین پذیرفته شده است.

استراتژی نفوذ به ادغام تاکتیک‌ها، روش‌ها و ابزارهای شناخته‌شده مرتبط با یک حمله و همچنین کمپین‌های گسترده‌تر این حملات اشاره دارد. به طور معمول، این استراتژی های نفوذ توسط یک مهاجم انفرادی ناشناس استفاده می شود. قابل ذکر است، مجموعه ابزار مرتبط با REF5961 نیز در یک حمله متمایز متمرکز بر جاسوسی علیه دولت مغولستان مشاهده شد.

درب پشتی BLOODALCHEMY هنوز در حال توسعه است

BLOODALCHEMY درب پشتی جدیدی است که توسط اپراتورهای پشتی REF5961 استفاده شده است. علیرغم دخالت توسعه دهندگان بدافزار ماهر در ایجاد آن، به نظر می رسد پروژه ای است که هنوز به بلوغ کامل نرسیده است.

در حالی که به عنوان یک نوع بدافزار کاربردی عمل می‌کند و یکی از سه خانواده بدافزاری را تشکیل می‌دهد که اخیراً آشکار شده از عملیات REF5961 جدا شده‌اند، قابلیت‌های آن تا حدودی محدود می‌ماند.

اگرچه تأیید نشده است، وجود تعداد محدودی از دستورات مؤثر به این احتمال اشاره دارد که این بدافزار می‌تواند جزئی از یک استراتژی نفوذ بزرگتر یا مجموعه بدافزاری باشد که هنوز در حال توسعه است، یا ممکن است یک قطعه بسیار تخصصی از بدافزار باشد که برای یک بدافزار طراحی شده است. هدف تاکتیکی خاص

مکانیسم‌های ماندگاری متعدد در درب پشتی BLOODALCHEMY کشف شد

محققان مجموعه محدودی از دستورات حیاتی را در بدافزار BLOODALCHEMY شناسایی کردند. این دستورات عملکردهای مختلفی مانند اصلاح مجموعه ابزار بدافزار، اجرای برنامه بدافزار، حذف نصب و خاتمه آن و جمع آوری اطلاعات میزبان را فعال می کردند.

فرمان حذف به‌ویژه آشکار شد زیرا از تکنیک‌های متعدد BLOODALCHEMY برای حفظ پایداری سیستم مورد نظر استفاده می‌کرد. این درپشتی ماندگاری خود را با کپی کردن خود در یک پوشه مشخص، که معمولاً «تست» نامیده می‌شود، ثابت می‌کند. در این پوشه، بدافزار باینری با برچسب "test.exe" قرار دارد. انتخاب پوشه persistence به سطح امتیازات داده شده به BLOODALCHEMY بستگی دارد و می تواند یکی از چهار احتمال باشد: ProgramFiles، ProgramFiles(x86)، Appdata یا LocalAppData\Programs.

علاوه بر این، BLOODALCHEMY تطبیق پذیری در مکانیسم های پایداری خود را نشان داد. ویژگی‌های قابل توجه شامل پیاده‌سازی پوشاندن داده‌های کلاسیک از طریق رمزگذاری رشته و تکنیک‌های مبهم‌سازی اضافی بود. این بدافزار همچنین بر اساس پیکربندی خود در حالت‌های مختلف عمل می‌کند، در داخل رشته اصلی یا جداگانه اجرا می‌شود، به عنوان یک سرویس عمل می‌کند، یا پس از شروع فرآیند ویندوز، یک کد پوسته را تزریق می‌کند.

درب پشتی BLOODALCHEMY بخشی از یک مجموعه ابزار بدافزار بزرگتر است

BLOODALCHEMY بخشی از مجموعه نفوذ REF5961 است که خود شامل سه خانواده بدافزار جدید است که در حملات مداوم استفاده می شود. این خانواده بدافزار از آن زمان به حملات قبلی مرتبط شده اند.

نمونه‌های بدافزار در REF5961 نیز در مجموعه‌ای از نفوذ قبلی، REF2924، یافت شده‌اند که گمان می‌رود در حملات به اعضای ASEAN، از جمله وزارت امور خارجه مغولستان، مورد استفاده قرار گیرد. سه خانواده بدافزار جدید REF5961 EAGERBEE، RUDEBIRD و DOWNTOWN نام دارند.

قربانی شناسی، ابزارسازی و جریان های اجرایی رایج که در کمپین های متعدد علیه اعضای آسه آن مشاهده شده است، محققان را به این باور رسانده است که اپراتورهای REF5961 با چین همسو هستند.