BLOODALCHEMY Stražnja vrata
Stručnjaci za kibernetičku sigurnost nedavno su otkrili tajnu pristupnu točku korištenu u kibernetičkim napadima na vladina tijela i organizacije koje pripadaju Udruženju država jugoistočne Azije (ASEAN). Ovi stručnjaci nazivaju 'BLOODALCHEMY', ovaj tajni ulaz posebno cilja na x86 sustave i komponenta je REF5961 strategije upada, koju je nedavno prihvatila skupina s očiglednim vezama s Kinom.
Strategija upada odnosi se na spajanje priznatih taktika, metoda i alata povezanih s napadom, kao i na šire kampanje kojima ti napadi doprinose. Tipično, ove strategije upada koriste neidentificirani usamljeni napadači. Značajno je da je skup alata povezan s REF5961 također primijećen u jasnom napadu usmjerenom na špijunažu protiv vlade Mongolije.
Sadržaj
BLOODALCHEMY Backdoor je još uvijek u aktivnom razvoju
BLOODALCHEMY je novi backdoor koji koriste operateri iza REF5961. Unatoč uključenosti vještih programera malwarea u njegovu izradu, čini se da je to projekt koji još nije u potpunosti sazrio.
Iako funkcionira kao funkcionalna vrsta zlonamjernog softvera i čini jednu od tri nedavno otkrivene obitelji zlonamjernog softvera izdvojene iz operacija REF5961, njegove mogućnosti ostaju donekle ograničene.
Iako neprovjereno, postojanje ograničenog broja učinkovitih naredbi ukazuje na mogućnost da bi ovaj zlonamjerni softver mogao biti sastavni dio veće strategije upada ili paketa zlonamjernog softvera koji je još uvijek u razvoju, ili bi mogao biti izrazito specijalizirani komad zlonamjernog softvera dizajniran za specifična taktička svrha.
Višestruki mehanizmi postojanosti otkriveni u stražnjim vratima BLOODALCHEMY
Istraživači su identificirali ograničen skup kritičnih naredbi u zlonamjernom softveru BLOODALCHEMY. Te su naredbe omogućile različite funkcije kao što je modificiranje skupa alata za zlonamjerni softver, izvršavanje programa za zlonamjerni softver, njegovo deinstaliranje i ukidanje te prikupljanje informacija o glavnom računalu.
Naredba za deinstalaciju pokazala se osobito otkrivajućom jer je otkrila brojne tehnike koje BLOODALCHEMY koristi za održavanje postojanosti na ciljanom sustavu. Ova pozadinska vrata uspostavljaju svoju postojanost dupliciranjem u određenu mapu, obično nazvanu 'Test'. Unutar ove mape nalazi se binarna datoteka zlonamjernog softvera s oznakom "test.exe". Odabir postojane mape ovisi o razini privilegija dodijeljenih BLOODALCHEMY-ju i može biti jedna od četiri mogućnosti: ProgramFiles, ProgramFiles(x86), Appdata ili LocalAppData\Programs.
Štoviše, BLOODALCHEMY je pokazao svestranost u svojim mehanizmima postojanosti. Značajne značajke uključivale su implementaciju klasičnog maskiranja podataka kroz enkripciju niza i dodatne tehnike maskiranja. Zlonamjerni softver također radi u različitim načinima rada na temelju svoje konfiguracije, izvodi se unutar glavne niti ili zasebne niti, funkcionira kao usluga ili ubacuje shellcode nakon pokretanja Windows procesa.
BLOODALCHEMY Backdoor dio je većeg skupa alata za zlonamjerni softver
BLOODALCHEMY je dio skupa upada REF5961, koji sam sadrži tri nove obitelji malwarea koji se koriste u napadima koji su u tijeku. Ove obitelji zlonamjernog softvera od tada su povezane s prethodnim napadima.
Uzorci zlonamjernog softvera u REF5961 također su pronađeni u prethodnom skupu upada, REF2924, za koji se vjeruje da se koristi u napadima na članice ASEAN-a, uključujući mongolsko Ministarstvo vanjskih poslova. Tri nove obitelji malwarea REF5961 nazvane su EAGERBEE, RUDEBIRD i DOWNTOWN.
Uobičajena viktimologija, alati i tokovi izvršenja uočeni u višestrukim kampanjama protiv članica ASEAN-a naveli su istraživače da vjeruju da su operateri REF5961 povezani s Kinom.
