ब्लडकेमी बैकडोर
साइबर सुरक्षा विशेषज्ञों ने हाल ही में एसोसिएशन ऑफ साउथईस्ट एशियन नेशंस (आसियान) से संबंधित सरकारी निकायों और संगठनों के खिलाफ साइबर हमलों में नियोजित एक गुप्त पहुंच बिंदु की खोज की है। इन विशेषज्ञों द्वारा 'ब्लूडालकेमी' कहा गया, यह गुप्त प्रवेश मार्ग विशेष रूप से x86 सिस्टम को लक्षित करता है और REF5961 घुसपैठ रणनीति का एक घटक है, जिसे हाल ही में चीन से स्पष्ट संबंध वाले एक समूह द्वारा अपनाया गया है।
घुसपैठ की रणनीति किसी हमले से जुड़ी मान्यता प्राप्त रणनीति, तरीकों और उपकरणों के समामेलन के साथ-साथ उन व्यापक अभियानों को संदर्भित करती है जिनमें ये हमले योगदान करते हैं। आमतौर पर, ये घुसपैठ रणनीतियाँ एक अज्ञात अकेले हमलावर द्वारा नियोजित की जाती हैं। विशेष रूप से, REF5961 से जुड़े टूलसेट को मंगोलिया सरकार के खिलाफ एक विशिष्ट जासूसी-केंद्रित हमले में भी देखा गया था।
विषयसूची
ब्लडकेमी बैकडोर अभी भी सक्रिय विकास के अधीन है
BLOODALCHEMY REF5961 के पीछे ऑपरेटरों द्वारा नियोजित नया पिछला दरवाजा है। इसके निर्माण में कुशल मैलवेयर डेवलपर्स की भागीदारी के बावजूद, यह एक ऐसा प्रोजेक्ट प्रतीत होता है जो अभी तक पूरी तरह से परिपक्व नहीं हुआ है।
हालांकि यह एक कार्यात्मक मैलवेयर स्ट्रेन के रूप में कार्य करता है और REF5961 संचालन से विच्छेदित हाल ही में सामने आए तीन मैलवेयर परिवारों में से एक है, इसकी क्षमताएं कुछ हद तक सीमित हैं।
हालांकि असत्यापित, सीमित संख्या में प्रभावी कमांड का अस्तित्व इस संभावना की ओर संकेत करता है कि यह मैलवेयर एक बड़ी घुसपैठ रणनीति या मैलवेयर सूट का एक घटक हो सकता है जो अभी भी विकास के अधीन है, या यह मैलवेयर का एक अत्यधिक विशिष्ट टुकड़ा हो सकता है जिसे किसी के लिए डिज़ाइन किया गया है। विशिष्ट सामरिक उद्देश्य.
ब्लडकेमी बैकडोर में कई दृढ़ता तंत्र उजागर हुए
शोधकर्ताओं ने BLOODALCHEMY मैलवेयर में महत्वपूर्ण कमांड के एक सीमित सेट की पहचान की। ये कमांड विभिन्न कार्यों को सक्षम करते हैं जैसे मैलवेयर टूलसेट को संशोधित करना, मैलवेयर प्रोग्राम को निष्पादित करना, इसे अनइंस्टॉल करना और समाप्त करना और होस्ट जानकारी एकत्र करना।
अनइंस्टॉल कमांड विशेष रूप से खुलासा करने वाला साबित हुआ क्योंकि इसने लक्षित सिस्टम पर दृढ़ता बनाए रखने के लिए नियोजित कई तकनीकों BLOODALCHEMY का अनावरण किया। यह पिछला दरवाज़ा स्वयं को निर्दिष्ट फ़ोल्डर में डुप्लिकेट करके अपनी दृढ़ता स्थापित करता है, जिसे आमतौर पर 'टेस्ट' नाम दिया जाता है। इस फ़ोल्डर में मैलवेयर बाइनरी मौजूद है, जिसका लेबल 'test.exe' है। दृढ़ता फ़ोल्डर का चुनाव BLOODALCHEMY को दिए गए विशेषाधिकारों के स्तर पर निर्भर करता है और चार संभावनाओं में से एक हो सकता है: प्रोग्रामफाइल्स, प्रोग्रामफाइल्स (x86), ऐपडेटा या लोकलऐपडेटा\प्रोग्राम्स।
इसके अलावा, BLOODALCHEMY ने अपने दृढ़ता तंत्र में बहुमुखी प्रतिभा का प्रदर्शन किया। उल्लेखनीय विशेषताओं में स्ट्रिंग एन्क्रिप्शन और अतिरिक्त ऑबफस्केशन तकनीकों के माध्यम से क्लासिक डेटा मास्किंग का कार्यान्वयन शामिल है। मैलवेयर अपने कॉन्फ़िगरेशन के आधार पर विभिन्न मोड में भी काम करता है, मुख्य थ्रेड के भीतर या एक अलग थ्रेड में चलता है, एक सेवा के रूप में कार्य करता है, या विंडोज़ प्रक्रिया शुरू करने के बाद शेलकोड इंजेक्ट करता है।
BLOODALCHEMY बैकडोर एक बड़े मैलवेयर टूलसेट का हिस्सा है
BLOODALCHEMY REF5961 घुसपैठ सेट का हिस्सा है, जिसमें स्वयं तीन नए मैलवेयर परिवार शामिल हैं जिनका उपयोग चल रहे हमलों में किया जा रहा है। ये मैलवेयर परिवार तब से पिछले हमलों से जुड़े हुए हैं।
REF5961 में मैलवेयर के नमूने पिछले घुसपैठ सेट, REF2924 में भी पाए गए हैं, जिसके बारे में माना जाता है कि इसका इस्तेमाल मंगोलियाई विदेश मंत्रालय सहित आसियान सदस्यों पर हमलों में किया जाता था। REF5961 के तीन नए मैलवेयर परिवारों को EAGERBEE, RUDEBIRD और DOWNTOWN कहा गया है।
आसियान सदस्यों के खिलाफ कई अभियानों में देखी गई सामान्य पीड़ित विज्ञान, टूलिंग और निष्पादन प्रवाह ने शोधकर्ताओं को यह विश्वास दिलाया है कि REF5961 के संचालक चीन से जुड़े हुए हैं।
