BLOODALCHEMY Backdoor
Kiberdrošības eksperti nesen ir atklājuši slēptu piekļuves punktu, kas tiek izmantots kiberuzbrukumos pret valsts iestādēm un organizācijām, kas pieder Dienvidaustrumāzijas valstu asociācijai (ASEAN). Šo ekspertu nosaukumā “BLOODALCHEMY”, šī slepenā ieeja ir īpaši paredzēta x86 sistēmām un ir daļa no REF5961 ielaušanās stratēģijas, ko nesen pieņēma grupa ar acīmredzamiem sakariem ar Ķīnu.
Ielaušanās stratēģija attiecas uz atzītu taktiku, metožu un rīku apvienošanu, kas saistīti ar uzbrukumu, kā arī plašākām kampaņām, ko šie uzbrukumi veicina. Parasti šīs ielaušanās stratēģijas izmanto neidentificēts vientuļš uzbrucējs. Proti, ar REF5961 saistītais rīku komplekts tika novērots arī izteiktā, uz spiegošanu vērstā uzbrukumā Mongolijas valdībai.
Satura rādītājs
BLOODALCHEMY Backdoor joprojām tiek aktīvi izstrādāts
BLOODALCHEMY ir jauna aizmugures durvis, ko izmanto operatori aiz REF5961. Neskatoties uz to, ka tās izveidē ir iesaistījušies prasmīgi ļaunprātīgas programmatūras izstrādātāji, šķiet, ka tas ir projekts, kas vēl nav pilnībā nobriedis.
Lai gan tas darbojas kā funkcionāls ļaunprātīgas programmatūras celms un ir viena no trim nesen atklātajām ļaunprātīgas programmatūras saimēm, kas atdalītas no REF5961 darbībām, tās iespējas joprojām ir nedaudz ierobežotas.
Lai gan tas nav pārbaudīts, ierobežota skaita efektīvu komandu esamība norāda uz iespēju, ka šī ļaunprogrammatūra varētu būt daļa no lielākas ielaušanās stratēģijas vai ļaunprātīgas programmatūras komplekta, kas joprojām ir izstrādes stadijā, vai arī tā varētu būt īpaši specializēta ļaunprātīgas programmatūras daļa, kas paredzēta konkrēts taktiskais mērķis.
BLOODALCHEMY Backdoor atklāti vairāki noturības mehānismi
Pētnieki identificēja ierobežotu kritisko komandu kopumu BLOODALCHEMY ļaunprātīgajā programmā. Šīs komandas iespējoja dažādas funkcijas, piemēram, ļaunprātīgas programmatūras rīku kopas modificēšanu, ļaunprātīgas programmatūras programmas izpildi, tās atinstalēšanu un pārtraukšanu, kā arī resursdatora informācijas apkopošanu.
Atinstalēšanas komanda izrādījās īpaši atklājoša, jo tā atklāja daudzas BLOODALCHEMY metodes, kas tika izmantotas, lai saglabātu noturību mērķa sistēmā. Šīs aizmugures durvis nodrošina savu noturību, dublējot sevi noteiktā mapē, kuras nosaukums parasti ir "Pārbaude". Šajā mapē atrodas ļaunprātīgas programmatūras binārais fails, kas apzīmēts kā “test.exe”. Noturības mapes izvēle ir atkarīga no BLOODALCHEMY piešķirto privilēģiju līmeņa, un tā var būt viena no četrām iespējām: ProgramFiles, ProgramFiles(x86), Appdata vai LocalAppData\Programs.
Turklāt BLOODALCHEMY bija daudzpusīgi savos noturības mehānismos. Ievērojamas funkcijas ietvēra klasiskās datu maskēšanas ieviešanu, izmantojot virknes šifrēšanu un papildu apmulsināšanas metodes. Ļaunprātīga programmatūra darbojas arī dažādos režīmos atkarībā no tās konfigurācijas, darbojas galvenajā pavedienā vai atsevišķā pavedienā, darbojas kā pakalpojums vai ievada čaulas kodu pēc Windows procesa uzsākšanas.
BLOODALCHEMY Backdoor ir daļa no lielāka ļaunprātīgas programmatūras rīku kopas
BLOODALCHEMY ir daļa no REF5961 ielaušanās komplekta, kurā ir trīs jaunas ļaunprātīgas programmatūras ģimenes, kas tiek izmantotas notiekošos uzbrukumos. Kopš tā laika šīs ļaunprātīgās programmatūras ģimenes ir saistītas ar iepriekšējiem uzbrukumiem.
Ļaunprātīgas programmatūras paraugi REF5961 ir atrasti arī iepriekšējā ielaušanās komplektā REF2924, kas, domājams, tika izmantots uzbrukumos ASEAN dalībvalstīm, tostarp Mongolijas Ārlietu ministrijai. Trīs jaunās REF5961 ļaunprātīgās programmatūras saimes ir nosauktas EAGERBEE, RUDEBIRD un DOWNTOWN.
Kopējās viktimoloģijas, instrumentu un izpildes plūsmas, kas novērotas vairākās kampaņās pret ASEAN locekļiem, lika pētniekiem domāt, ka REF5961 operatori ir saskaņoti ar Ķīnu.
