BLOODALCHEMY Backdoor
Kyberturvallisuusasiantuntijat ovat äskettäin löytäneet salaisen tukiaseman, jota käytetään kyberhyökkäyksiin Kaakkois-Aasian maiden liittoon (ASEAN) kuuluvia hallituksen elimiä ja organisaatioita vastaan. Nämä asiantuntijat kutsuvat tätä BLOODALCHEMYksi. Tämä salainen sisäänkäynti on kohdistettu erityisesti x86-järjestelmiin ja on osa REF5961-tunkeutumisstrategiaa, jonka äskettäin hyväksyi ryhmä, jolla on ilmeisiä yhteyksiä Kiinaan.
Tunkeutumisstrategia viittaa hyökkäykseen liittyvien tunnustettujen taktiikkojen, menetelmien ja työkalujen yhdistämiseen sekä laajempiin kampanjoihin, joihin nämä hyökkäykset osallistuvat. Tyypillisesti näitä tunkeutumisstrategioita käyttää tunnistamaton yksinäinen hyökkääjä. Erityisesti REF5961:een liittyvä työkalusarja havaittiin myös selkeässä vakoiluon keskittyneessä hyökkäyksessä Mongolian hallitusta vastaan.
Sisällysluettelo
BLOODALCHEMY Backdoor on edelleen aktiivisen kehityksen alla
BLOODALCHEMY on uusi takaovi, jota REF5961:n takana olevat käyttäjät käyttävät. Huolimatta ammattitaitoisten haittaohjelmien kehittäjien osallistumisesta sen luomiseen, se näyttää olevan projekti, joka ei ole vielä täysin kypsä.
Vaikka se toimii toiminnallisena haittaohjelmakantana ja muodostaa yhden kolmesta äskettäin paljastetusta haittaohjelmaperheestä, jotka on erotettu REF5961:n toiminnasta, sen ominaisuudet ovat edelleen jonkin verran rajoitetut.
Vaikka sitä ei ole vahvistettu, rajallinen määrä tehokkaita komentoja viittaa siihen mahdollisuuteen, että tämä haittaohjelma voi olla osa laajempaa tunkeutumisstrategiaa tai haittaohjelmapakettia, joka on vielä kehitteillä, tai se voi olla erittäin erikoistunut haittaohjelma, joka on suunniteltu tiettyä taktista tarkoitusta.
BLOODALCHEMY-takaovessa paljastettu useita pysyvyysmekanismeja
Tutkijat tunnistivat rajoitetun joukon kriittisiä komentoja BLOODALCHEMY-haittaohjelmasta. Nämä komennot mahdollistivat erilaisia toimintoja, kuten haittaohjelmien työkalujoukon muokkaamisen, haittaohjelmaohjelman suorittamisen, asennuksen poistamisen ja lopettamisen sekä isäntätietojen keräämisen.
Asennuksen poistokomento osoittautui erityisen paljastavaksi, koska se paljasti lukuisat BLOODALCHEMYn tekniikat, joita käytettiin ylläpitämään kestävyyttä kohdejärjestelmässä. Tämä takaovi vahvistaa pysyvyyttään kopioimalla itsensä määrättyyn kansioon, jonka nimi on yleensä "Testi". Tässä kansiossa on haittaohjelmabinaari, jonka nimi on "test.exe". Pysyvyyskansion valinta riippuu BLOODALCHEMYlle myönnettyjen oikeuksien tasosta, ja se voi olla yksi neljästä vaihtoehdosta: ProgramFiles, ProgramFiles(x86), Appdata tai LocalAppData\Programs.
Lisäksi BLOODALCHEMY osoitti monipuolisuutta pysyvyysmekanismeissaan. Huomattavia ominaisuuksia olivat klassisen tietojen peittämisen toteuttaminen merkkijonosalauksen ja ylimääräisten hämärtymistekniikoiden avulla. Haittaohjelma toimii myös eri tiloissa sen kokoonpanon perusteella, toimii pääsäikeessä tai erillisessä säikeessä, toimii palveluna tai syöttää shell-koodin Windows-prosessin käynnistämisen jälkeen.
BLOODALCHEMY Backdoor on osa suurempaa haittaohjelmatyökalusarjaa
BLOODALCHEMY on osa REF5961-tunkeutumissarjaa, joka itsessään sisältää kolme uutta haittaohjelmaperhettä, joita käytetään käynnissä olevissa hyökkäyksissä. Nämä haittaohjelmaperheet on sittemmin yhdistetty aikaisempiin hyökkäyksiin.
REF5961:n haittaohjelmanäytteitä on löydetty myös aiemmasta tunkeutumisjoukosta REF2924, jota uskotaan käytetyn hyökkäyksissä ASEANin jäseniä, mukaan lukien Mongolian ulkoministeriötä, vastaan. REF5961:n kolme uutta haittaohjelmaperhettä on nimetty EAGERBEE, RUDEBIRD ja DOWNTOWN.
Useissa ASEAN-jäseniä vastaan suunnatuissa kampanjoissa havaitut yhteiset viktimologia-, työkalu- ja teloitusvirrat ovat saaneet tutkijat uskomaan, että REF5961:n operaattorit ovat Kiinan-linjaisia.
