BLOODALCHEMY Backdoor
Kibernetinio saugumo ekspertai neseniai atrado slaptą prieigos tašką, naudojamą kibernetinėse atakose prieš vyriausybines institucijas ir organizacijas, priklausančias Pietryčių Azijos tautų asociacijai (ASEAN). Šių ekspertų vadinama „BLOODALCHEMY“, šis slaptas įėjimas yra skirtas x86 sistemoms ir yra REF5961 įsibrovimo strategijos, kurią neseniai priėmė grupė, turinti akivaizdžių ryšių su Kinija, dalis.
Įsibrovimo strategija reiškia pripažintų taktikos, metodų ir įrankių, susijusių su ataka, sujungimą, taip pat platesnes kampanijas, prie kurių prisideda šios atakos. Paprastai šias įsibrovimo strategijas naudoja neidentifikuotas pavienis užpuolikas. Pažymėtina, kad įrankių rinkinys, susijęs su REF5961, taip pat buvo pastebėtas atskirame šnipinėjimu orientuotame puolime prieš Mongolijos vyriausybę.
Turinys
BLOODALCHEMY Backdoor vis dar aktyviai vystomas
BLOODALCHEMY yra naujos užpakalinės durys, kurias naudoja REF5961 operatoriai. Nepaisant to, kad kuriant jį dalyvavo patyrę kenkėjiškų programų kūrėjai, atrodo, kad tai projektas, kuris dar nėra visiškai subrendęs.
Nors ji veikia kaip funkcinė kenkėjiškų programų padermė ir yra viena iš trijų neseniai atskleistų kenkėjiškų programų šeimų, išskirtų iš REF5961 operacijų, jos galimybės išlieka šiek tiek apribotos.
Nors ir nepatvirtinta, ribotas veiksmingų komandų skaičius rodo, kad ši kenkėjiška programa gali būti didesnės įsibrovimo strategijos ar kenkėjiškų programų rinkinio, kuris vis dar kuriamas, komponentas, arba tai gali būti itin specializuota kenkėjiškų programų dalis, skirta konkretus taktinis tikslas.
BLOODALCHEMY Backdoor atskleisti keli patvarumo mechanizmai
Tyrėjai nustatė ribotą kritinių komandų rinkinį BLOODALCHEMY kenkėjiškoje programoje. Šios komandos įgalino įvairias funkcijas, tokias kaip kenkėjiškų programų įrankių rinkinio modifikavimas, kenkėjiškų programų vykdymas, jos pašalinimas ir nutraukimas bei pagrindinio kompiuterio informacijos rinkimas.
Pašalinimo komanda pasirodė ypač atskleidžianti, nes ji atskleidė daugybę BLOODALCHEMY metodų, naudojamų siekiant išlaikyti tikslinę sistemą. Šios užpakalinės durys užtikrina savo patvarumą dubliuodami save į tam skirtą aplanką, paprastai vadinamą „Test“. Šiame aplanke yra dvejetainis kenkėjiškų programų failas, pažymėtas „test.exe“. Patvarumo aplanko pasirinkimas priklauso nuo BLOODALCHEMY suteiktų privilegijų lygio ir gali būti viena iš keturių galimybių: ProgramFiles, ProgramFiles(x86), Appdata arba LocalAppData\Programs.
Be to, BLOODALCHEMY pasižymėjo įvairiapusiškumu savo patvarumo mechanizmuose. Svarbios funkcijos buvo klasikinio duomenų maskavimo įdiegimas naudojant eilučių šifravimą ir papildomi užmaskavimo metodai. Kenkėjiška programa taip pat veikia įvairiais režimais, atsižvelgiant į jos konfigūraciją, veikia pagrindinėje gijoje arba atskiroje gijoje, veikia kaip paslauga arba įveda apvalkalo kodą pradėjus „Windows“ procesą.
BLOODALCHEMY Backdoor yra didesnio kenkėjiškų programų įrankių rinkinio dalis
BLOODALCHEMY yra REF5961 įsibrovimo rinkinio, kuriame yra trys naujos kenkėjiškų programų šeimos, naudojamos vykstančiose atakose, dalis. Nuo to laiko šios kenkėjiškų programų šeimos buvo susietos su ankstesnėmis atakomis.
Kenkėjiškų programų pavyzdžiai REF5961 taip pat buvo rasti ankstesniame įsibrovimų rinkinyje REF2924, kuris, kaip manoma, buvo naudojamas atakoms prieš ASEAN nares, įskaitant Mongolijos užsienio reikalų ministeriją. Trys naujos kenkėjiškų programų šeimos REF5961 buvo pavadintos EAGERBEE, RUDEBIRD ir DOWNTOWN.
Įprasti viktimologijos, įrankių ir vykdymo srautai, pastebėti per kelias kampanijas prieš ASEAN narius, paskatino tyrėjus manyti, kad REF5961 operatoriai yra suderinti su Kinija.
