혈액 연금술 백도어

사이버 보안 전문가들은 최근 ASEAN(동남아시아 국가 연합)에 속한 정부 기관 및 조직을 대상으로 한 사이버 공격에 사용되는 비밀 액세스 포인트를 발견했습니다. 전문가들이 'BLOODALCHEMY'라고 부르는 이 비밀 진입 경로는 특히 x86 시스템을 대상으로 하며 최근 중국과 명백한 관련이 있는 그룹이 채택한 REF5961 침입 전략의 구성 요소입니다.

침입 전략은 공격과 관련하여 인식된 전술, 방법 및 도구뿐만 아니라 이러한 공격이 기여하는 광범위한 캠페인의 통합을 의미합니다. 일반적으로 이러한 침입 전략은 신원이 확인되지 않은 단독 공격자에 의해 사용됩니다. 특히, REF5961과 관련된 도구 세트는 몽골 정부에 대한 뚜렷한 간첩 중심 공격에서도 관찰되었습니다.

BLOODALCHEMY 백도어는 아직 활발하게 개발 중입니다.

BLOODALCHEMY는 REF5961 뒤에 있는 운영자가 사용하는 새로운 백도어입니다. 숙련된 악성 코드 개발자가 제작에 참여했음에도 불구하고 아직 완전히 성숙되지 않은 프로젝트인 것으로 보입니다.

이는 기능성 악성 코드 변종으로 기능하고 REF5961 작업에서 분석된 최근 밝혀진 세 가지 악성 코드 계열 중 하나를 형성하지만 그 기능은 여전히 다소 제한되어 있습니다.

검증되지는 않았지만 제한된 수의 효과적인 명령이 존재한다는 사실은 이 악성 코드가 아직 개발 중인 더 큰 침입 전략이나 악성 코드 제품군의 구성 요소일 수 있거나 보안을 위해 설계된 극도로 전문화된 악성 코드일 수 있음을 암시합니다. 특정 전술적 목적.

BLOODALCHEMY 백도어에서 발견된 다중 지속성 메커니즘

연구원들은 BLOODALCHEMY 악성코드에서 제한된 중요 명령 세트를 식별했습니다. 이들 명령을 통해 악성코드 툴셋 수정, 악성코드 프로그램 실행, 제거 및 종료, 호스트 정보 수집 등 다양한 기능이 활성화됐다.

제거 명령은 대상 시스템에서 지속성을 유지하기 위해 사용되는 BLOODALCHEMY의 수많은 기술을 공개하면서 특히 드러났습니다. 이 백도어는 일반적으로 'Test'라는 지정된 폴더에 자신을 복제하여 지속성을 확립합니다. 이 폴더에는 'test.exe'라는 라벨이 붙은 악성 코드 바이너리가 있습니다. 지속성 폴더의 선택은 BLOODALCHEMY에 부여된 권한 수준에 따라 달라지며 ProgramFiles, ProgramFiles(x86), Appdata 또는 LocalAppData\Programs의 네 가지 가능성 중 하나일 수 있습니다.

더욱이, BLOODALCHEMY는 지속성 메커니즘에서 다양성을 나타냈습니다. 주목할만한 기능에는 문자열 암호화 및 추가 난독화 기술을 통한 기존 데이터 마스킹 구현이 포함되었습니다. 또한 이 악성코드는 구성에 따라 메인 스레드나 별도의 스레드 내에서 실행되거나 서비스로 작동하거나 Windows 프로세스를 시작한 후 쉘코드를 삽입하는 등 다양한 모드로 작동합니다.

BLOODALCHEMY 백도어는 더 큰 악성 코드 도구 세트의 일부입니다.

BLOODALCHEMY는 REF5961 침입 세트의 일부이며, REF5961 자체에는 현재 진행 중인 공격에 사용되는 세 가지 새로운 악성 코드군이 포함되어 있습니다. 이러한 맬웨어 계열은 이후 이전 공격과 연결되어 있습니다.

REF5961의 악성 코드 샘플은 이전 침입 세트인 REF2924에서도 발견되었으며, 이는 몽골 외무부를 포함한 ASEAN 회원국을 공격하는 데 사용된 것으로 추정됩니다. REF5961의 세 가지 새로운 악성 코드 계열은 EAGERBEE, RUDEBIRD 및 DOWNTOWN이라고 합니다.

ASEAN 회원국을 대상으로 한 여러 캠페인에서 관찰된 일반적인 피해자, 도구 및 실행 흐름으로 인해 연구자들은 REF5961의 운영자가 중국과 협력한다고 믿게 되었습니다.