BLOODALCHEMY Pintu Belakang
Pakar keselamatan siber baru-baru ini menemui titik akses rahsia yang digunakan dalam serangan siber terhadap badan kerajaan dan organisasi milik Persatuan Negara-Negara Asia Tenggara (ASEAN). Digelar 'BLOODALCHEMY' oleh pakar-pakar ini, laluan masuk sulit ini secara khusus menyasarkan sistem x86 dan merupakan komponen strategi pencerobohan REF5961, baru-baru ini dianuti oleh kumpulan yang mempunyai hubungan jelas dengan China.
Strategi pencerobohan merujuk kepada penggabungan taktik, kaedah dan alatan yang diiktiraf yang dikaitkan dengan serangan, serta kempen yang lebih luas yang disumbangkan oleh serangan ini. Biasanya, strategi pencerobohan ini digunakan oleh penyerang bersendirian yang tidak dikenali. Terutama, set alat yang dikaitkan dengan REF5961 juga diperhatikan dalam serangan tertumpu pengintipan terhadap kerajaan Mongolia.
Isi kandungan
Pintu Belakang BLOODALCHEMY Masih Dalam Pembangunan Aktif
BLOODALCHEMY ialah pintu belakang baharu yang digunakan oleh pengendali di belakang REF5961. Walaupun penglibatan pembangun perisian hasad yang mahir dalam penciptaannya, ia nampaknya merupakan projek yang belum matang sepenuhnya.
Walaupun ia berfungsi sebagai ketegangan perisian hasad berfungsi dan membentuk salah satu daripada tiga keluarga perisian hasad yang didedahkan baru-baru ini yang dibedah daripada operasi REF5961, keupayaannya kekal agak terhad.
Walaupun tidak disahkan, kewujudan bilangan perintah berkesan yang terhad membayangkan kemungkinan bahawa perisian hasad ini boleh menjadi komponen strategi pencerobohan yang lebih besar atau suite perisian hasad yang masih dalam pembangunan, atau mungkin sekeping perisian hasad yang sangat khusus yang direka untuk tujuan taktikal tertentu.
Pelbagai Mekanisme Kegigihan Terbongkar di Pintu Belakang BLOODALCHEMY
Para penyelidik mengenal pasti set terhad perintah kritikal dalam perisian hasad BLOODALCHEMY. Arahan ini mendayakan pelbagai fungsi seperti mengubah suai set alat perisian hasad, melaksanakan program perisian hasad, menyahpasang dan menamatkannya serta mengumpul maklumat hos.
Arahan nyahpasang terbukti sangat mendedahkan kerana ia mendedahkan pelbagai teknik BLOODALCHEMY yang digunakan untuk mengekalkan kegigihan pada sistem yang disasarkan. Pintu belakang ini mewujudkan kegigihannya dengan menduplikasi dirinya ke dalam folder yang ditetapkan, biasanya dinamakan 'Ujian.' Dalam folder ini terdapat binari perisian hasad, berlabel 'test.exe.' Pilihan folder kegigihan bergantung pada tahap keistimewaan yang diberikan kepada BLOODALCHEMY dan boleh menjadi salah satu daripada empat kemungkinan: ProgramFiles, ProgramFiles(x86), Appdata atau LocalAppData\Programs.
Selain itu, BLOODALCHEMY mempamerkan serba boleh dalam mekanisme kegigihannya. Ciri yang ketara termasuk pelaksanaan penyamaran data klasik melalui penyulitan rentetan dan teknik pengeliruan tambahan. Malware ini juga beroperasi dalam pelbagai mod berdasarkan konfigurasinya, berjalan dalam utas utama atau yang berasingan, berfungsi sebagai perkhidmatan, atau menyuntik kod shell selepas memulakan proses Windows.
Pintu Belakang BLOODALCHEMY ialah Sebahagian daripada Set Alat Perisian Hasad yang Lebih Besar
BLOODALCHEMY ialah sebahagian daripada set pencerobohan REF5961, yang mengandungi tiga keluarga perisian hasad baharu yang digunakan dalam serangan berterusan. Keluarga perisian hasad ini telah dikaitkan dengan serangan sebelumnya.
Sampel perisian hasad dalam REF5961 juga telah ditemui dalam set pencerobohan sebelum ini, REF2924, yang dipercayai digunakan dalam serangan ke atas anggota ASEAN, termasuk Kementerian Luar Negeri Mongolia. Tiga keluarga perisian hasad baharu REF5961 telah dipanggil EAGERBEE, RUDEBIRD dan DOWNTOWN.
Aliran korban, peralatan dan pelaksanaan yang biasa diperhatikan dalam pelbagai kempen terhadap anggota ASEAN telah menyebabkan penyelidik percaya bahawa pengendali REF5961 adalah sejajar dengan China.
