ALCHIMIA DEL SANGUE Backdoor
Gli esperti di sicurezza informatica hanno recentemente scoperto un punto di accesso segreto utilizzato negli attacchi informatici contro enti governativi e organizzazioni appartenenti all’Associazione delle nazioni del sud-est asiatico (ASEAN). Chiamato "BLOODALCHEMY" da questi esperti, questo ingresso clandestino prende di mira specificamente i sistemi x86 ed è un componente della strategia di intrusione REF5961, recentemente adottata da un gruppo con apparenti collegamenti con la Cina.
Una strategia di intrusione si riferisce alla fusione di tattiche, metodi e strumenti riconosciuti associati a un attacco, nonché alle campagne più ampie a cui contribuiscono questi attacchi. In genere, queste strategie di intrusione vengono impiegate da un aggressore solitario non identificato. In particolare, il set di strumenti associato a REF5961 è stato osservato anche in un distinto attacco incentrato sullo spionaggio contro il governo della Mongolia.
Sommario
La backdoor BLOODALCHEMY è ancora in fase di sviluppo attivo
BLOODALCHEMY è la nuova backdoor utilizzata dagli operatori dietro REF5961. Nonostante il coinvolgimento di abili sviluppatori di malware nella sua creazione, sembra trattarsi di un progetto non ancora del tutto maturo.
Sebbene funzioni come un ceppo di malware funzionale e formi una delle tre famiglie di malware recentemente rivelate e analizzate nelle operazioni REF5961, le sue capacità rimangono alquanto limitate.
Sebbene non verificata, l'esistenza di un numero limitato di comandi efficaci suggerisce la possibilità che questo malware possa essere un componente di una strategia di intrusione più ampia o di una suite di malware ancora in fase di sviluppo, oppure potrebbe essere un malware estremamente specializzato progettato per un scopo tattico specifico.
Meccanismi multipli di persistenza scoperti nella backdoor di BLOODALCHEMY
I ricercatori hanno identificato una serie limitata di comandi critici nel malware BLOODALCHEMY. Questi comandi abilitavano varie funzioni come la modifica del set di strumenti del malware, l'esecuzione del programma malware, la disinstallazione e la terminazione e la raccolta di informazioni sull'host.
Il comando di disinstallazione si è rivelato particolarmente rivelatore in quanto ha svelato le numerose tecniche impiegate da BLOODALCHEMY per mantenere la persistenza sul sistema preso di mira. Questa backdoor stabilisce la propria persistenza duplicandosi in una cartella designata, generalmente denominata "Test". All'interno di questa cartella risiede il file binario del malware, denominato "test.exe". La scelta della cartella di persistenza dipende dal livello di privilegi concessi a BLOODALCHEMY e può essere una delle quattro possibilità: ProgramFiles, ProgramFiles(x86), Appdata o LocalAppData\Programs.
Inoltre, BLOODALCHEMY ha mostrato versatilità nei suoi meccanismi di persistenza. Caratteristiche degne di nota includevano l'implementazione del classico mascheramento dei dati attraverso la crittografia delle stringhe e ulteriori tecniche di offuscamento. Il malware funziona anche in varie modalità in base alla sua configurazione, funzionando all'interno del thread principale o in uno separato, funzionando come un servizio o inserendo uno shellcode dopo aver avviato un processo Windows.
La backdoor BLOODALCHEMY fa parte di un set di strumenti antimalware più ampio
BLOODALCHEMY fa parte del set di intrusioni REF5961, che a sua volta contiene tre nuove famiglie di malware utilizzate negli attacchi in corso. Da allora queste famiglie di malware sono state collegate ad attacchi precedenti.
Campioni di malware in REF5961 sono stati trovati anche in un precedente set di intrusioni, REF2924, che si ritiene sia stato utilizzato negli attacchi contro i membri dell'ASEAN, compreso il Ministero degli Affari Esteri mongolo. Le tre nuove famiglie di malware REF5961 sono state denominate EAGERBEE, RUDEBIRD e DOWNTOWN.
Vittimologia, strumenti e flussi di esecuzione comuni osservati in molteplici campagne contro i membri dell'ASEAN hanno portato i ricercatori a credere che gli operatori di REF5961 siano allineati con la Cina.
