BLOODALCHEMY דלת אחורית
מומחי אבטחת סייבר גילו לאחרונה נקודת גישה סמויה המופעלת במתקפות סייבר נגד גופים וארגונים ממשלתיים השייכים לאגודת מדינות דרום מזרח אסיה (ASEAN). המכונה 'BLOODALCHEMY' על ידי מומחים אלה, הכניסה החשאית הזו מכוונת במיוחד למערכות x86 ומהווה מרכיב באסטרטגיית החדירה REF5961, שאומצה לאחרונה על ידי קבוצה עם קשרים לכאורה לסין.
אסטרטגיית חדירה מתייחסת למיזוג של טקטיקות, שיטות וכלים מוכרים הקשורים להתקפה, כמו גם לקמפיינים הרחבים יותר שהתקפות אלו תורמות. בדרך כלל, אסטרטגיות חדירה אלו מופעלות על ידי תוקף בודד לא מזוהה. יש לציין כי ערכת הכלים הקשורה ל-REF5961 נצפתה גם בהתקפה ממוקדת ריגול נגד ממשלת מונגוליה.
תוכן העניינים
הדלת האחורית של BLOODALCHEMY עדיין בפיתוח פעיל
BLOODALCHEMY היא הדלת האחורית הרעננה המועסקת על ידי המפעילים מאחורי REF5961. למרות המעורבות של מפתחי תוכנות זדוניות מיומנות ביצירתו, נראה שמדובר בפרויקט שעדיין לא התבגר במלואו.
הוא אמנם מתפקד כזן תוכנות זדוניות פונקציונלי ומהווה את אחת משלוש משפחות התוכנות הזדוניות שנחשפו לאחרונה שמנותחו מפעולות REF5961, אך היכולות שלה נותרות מוגבלות במקצת.
למרות שלא אומתה, קיומם של מספר מצומצם של פקודות יעילות מרמז על האפשרות שתוכנה זדונית זו יכולה להיות מרכיב של אסטרטגיית פריצה גדולה יותר או חבילת תוכנות זדוניות שעדיין בפיתוח, או שהיא עשויה להיות תוכנה זדונית מיוחדת במיוחד המיועדת עבור מטרה טקטית ספציפית.
מנגנוני התמדה מרובים שנחשפו בדלת האחורית של BLOODALCHEMY
החוקרים זיהו קבוצה מוגבלת של פקודות קריטיות בתוכנה הזדונית BLOODALCHEMY. פקודות אלו אפשרו פונקציות שונות כגון שינוי ערכת הכלים של תוכנות זדוניות, הפעלת תוכנית התוכנה הזדונית, הסרת התקנה וסיום שלה ואיסוף מידע מארח.
פקודת ההסרה התגלתה כחושפנית במיוחד כשהיא חשפה את הטכניקות הרבות שבהן השתמש BLOODALCHEMY כדי לשמור על התמדה במערכת הממוקדת. הדלת האחורית הזו מבססת את עמידותה על ידי שכפול עצמה לתיקיה ייעודית, הנקראת בדרך כלל 'בדיקה'. בתוך תיקיה זו נמצא הקובץ הבינארי של תוכנות זדוניות, שכותרתו 'test.exe'. הבחירה בתיקיית ה-persistence תלויה ברמת ההרשאות המוענקות ל-BLOODALCHEMY ויכולה להיות אחת מארבע אפשרויות: ProgramFiles, ProgramFiles(x86), Appdata או LocalAppData\Programs.
יתר על כן, BLOODALCHEMY הפגינה צדדיות במנגנוני ההתמדה שלה. תכונות בולטות כללו יישום של מיסוך נתונים קלאסי באמצעות הצפנת מחרוזת וטכניקות ערפול נוספות. התוכנה הזדונית פועלת גם במצבים שונים בהתבסס על התצורה שלה, פועלת בתוך השרשור הראשי או אחד נפרד, מתפקדת כשירות או הזרקת קוד מעטפת לאחר התחלת תהליך של Windows.
הדלת האחורית של BLOODALCHEMY היא חלק מערך כלים גדול יותר של תוכנות זדוניות
BLOODALCHEMY הוא חלק ממערך הפריצות REF5961, אשר בעצמו מכיל שלוש משפחות תוכנות זדוניות חדשות המשמשות בהתקפות מתמשכות. משפחות תוכנות זדוניות אלו נקשרו מאז להתקפות קודמות.
דגימות תוכנה זדונית ב-REF5961 נמצאו גם בסט חדירה קודם, REF2924, אשר על פי ההערכות משמש בהתקפות על חברי ASEAN, כולל משרד החוץ המונגולי. שלוש משפחות התוכנה החדשות של REF5961 נקראו EAGERBEE, RUDEBIRD ו-DOWNTOWN.
זרימות נפוצות של ויקטימולוגיה, כלי עבודה והוצאות להורג שנצפו בקמפיינים מרובים נגד חברי ASEAN גרמו לחוקרים להאמין שהמפעילים של REF5961 מתאימים לסין.
