BLOODALCHEMY Backdoor
Kiberbiztonsági szakértők nemrég fedeztek fel egy titkos hozzáférési pontot, amelyet a Délkelet-ázsiai Nemzetek Szövetségéhez (ASEAN) tartozó kormányzati szervek és szervezetek elleni kibertámadásokhoz alkalmaznak. A szakértők által „BLOODALCHEMY”-nek nevezett titkos bejárat kifejezetten az x86-os rendszereket célozza meg, és a REF5961 behatolási stratégia összetevője, amelyet nemrégiben egy Kínához nyilvánvalóan kötődő csoport felkarolt.
A behatolási stratégia a támadással kapcsolatos elismert taktikák, módszerek és eszközök ötvözésére vonatkozik, valamint azokra a tágabb kampányokra, amelyekhez ezek a támadások hozzájárulnak. Általában ezeket a behatolási stratégiákat egy azonosítatlan magányos támadó alkalmazza. Figyelemre méltó, hogy a REF5961-hez kapcsolódó eszközkészletet a Mongólia kormánya elleni, kifejezetten kémkedésre összpontosító támadásban is megfigyelték.
Tartalomjegyzék
A BLOODALCHEMY Backdoor még mindig aktív fejlesztés alatt áll
A BLOODALCHEMY egy új hátsó ajtó, amelyet a REF5961 mögött álló kezelők alkalmaznak. Annak ellenére, hogy képzett malware-fejlesztők vettek részt a létrehozásában, úgy tűnik, hogy ez egy még nem teljesen kiforrott projekt.
Bár funkcionális rosszindulatú programtörzsként működik, és a REF5961 műveleteiből kibontott három nemrégiben feltárt rosszindulatú programcsalád egyikét alkotja, képességei némileg korlátozottak maradnak.
Bár nem ellenőrizték, a korlátozott számú hatékony parancs megléte arra utal, hogy ez a rosszindulatú program egy nagyobb behatolási stratégia vagy rosszindulatú programcsomag összetevője lehet, amely még fejlesztés alatt áll, vagy egy rendkívül specializált rosszindulatú program, amelyet egy konkrét taktikai cél.
A BLOODALCHEMY Backdoor több perzisztencia-mechanizmust fedezett fel
A kutatók egy korlátozott számú kritikus parancsot azonosítottak a BLOODALCHEMY rosszindulatú programban. Ezek a parancsok különféle funkciókat tettek lehetővé, például a rosszindulatú programok eszközkészletének módosítását, a rosszindulatú program végrehajtását, eltávolítását és leállítását, valamint a gazdagép információinak gyűjtését.
Az eltávolítási parancs különösen leleplezőnek bizonyult, mivel bemutatta a BLOODALCHEMY számos technikáját, amellyel fenntartja a célzott rendszeren a kitartást. Ez a hátsó ajtó úgy alakítja ki tartósságát, hogy egy kijelölt mappába duplikálja magát, aminek általában a neve „Test”. Ebben a mappában található a „test.exe” címkével ellátott rosszindulatú program bináris fájlja. A perzisztencia mappa kiválasztása a BLOODALCHEMY számára biztosított jogosultságok szintjétől függ, és a négy lehetőség egyike lehet: ProgramFiles, ProgramFiles(x86), Appdata vagy LocalAppData\Programs.
Ezenkívül a BLOODALCHEMY sokoldalúságot mutatott a kitartási mechanizmusaiban. A figyelemre méltó funkciók közé tartozott a klasszikus adatmaszkolás megvalósítása karakterlánc-titkosításon és további homályosítási technikákon keresztül. A rosszindulatú program konfigurációjától függően különféle módokban is működik, a főszálon belül vagy egy különálló szálon belül, szolgáltatásként működik, vagy shellkódot injektál be egy Windows-folyamat elindítása után.
A BLOODALCHEMY Backdoor egy nagyobb kártevő-eszközkészlet része
A BLOODALCHEMY a REF5961 behatolási készlet része, amely három új rosszindulatú programcsaládot tartalmaz, amelyeket a folyamatban lévő támadások során használnak. Ezeket a rosszindulatú programcsaládokat azóta korábbi támadásokhoz kapcsolták.
A REF5961-ben található rosszindulatú programmintákat egy korábbi behatolási készletben, a REF2924-ben is találták, amelyet feltételezések szerint az ASEAN-tagok, köztük a mongol külügyminisztérium elleni támadásokhoz használtak. A REF5961 három új rosszindulatú programcsaládja az EAGERBEE, a RUDEBIRD és a DOWNTOWN nevet kapta.
Az ASEAN-tagok elleni több kampány során megfigyelt közös viktimológia, szerszámok és végrehajtási folyamatok arra késztették a kutatókat, hogy elhiggyék, a REF5961 kezelői Kínához igazodnak.
