BLODALKEMI Bakdør
Eksperter på nettsikkerhet har nylig oppdaget et skjult tilgangspunkt brukt i nettangrep mot statlige organer og organisasjoner som tilhører Association of Southeast Asian Nations (ASEAN). Denne hemmelige inngangen, kalt 'BLOODALCHEMY' av disse ekspertene, er spesifikt rettet mot x86-systemer og er en del av inntrengningsstrategien REF5961, nylig omfavnet av en gruppe med tilsynelatende forbindelser til Kina.
En inntrengningsstrategi refererer til sammenslåingen av anerkjente taktikker, metoder og verktøy knyttet til et angrep, så vel som de bredere kampanjene disse angrepene bidrar til. Vanligvis blir disse inntrengingsstrategiene brukt av en uidentifisert ensom angriper. Spesielt ble verktøysettet knyttet til REF5961 også observert i et tydelig spionasjefokusert angrep mot regjeringen i Mongolia.
Innholdsfortegnelse
BLOODALCHEMY-bakdøren er fortsatt under aktiv utvikling
BLOODALCHEMY er den friske bakdøren ansatt av operatørene bak REF5961. Til tross for involvering av dyktige skadevareutviklere i opprettelsen, ser det ut til å være et prosjekt som ennå ikke er fullstendig modnet.
Selv om den fungerer som en funksjonell skadevarestamme og danner en av de tre nylig avslørte skadevarefamiliene dissekert fra REF5961-operasjonene, forblir dens evner noe begrenset.
Selv om det er ubekreftet, antyder eksistensen av et begrenset antall effektive kommandoer muligheten for at denne skadelige programvaren kan være en del av en større inntrengningsstrategi eller skadevareprogrampakke som fortsatt er under utvikling, eller det kan være et svært spesialisert stykke skadevare utviklet for en spesifikke taktiske formål.
Flere persistensmekanismer avdekket i BLODALKEMI-bakdøren
Forskerne identifiserte et begrenset sett med kritiske kommandoer i BLOODALCHEMY malware. Disse kommandoene aktiverte ulike funksjoner som å endre verktøysettet for skadelig programvare, kjøre skadevareprogrammet, avinstallere og avslutte det og samle inn vertsinformasjon.
Avinstalleringskommandoen viste seg spesielt avslørende da den avduket de mange teknikkene BLOODALCHEMY brukte for å opprettholde utholdenhet på det målrettede systemet. Denne bakdøren etablerer sin utholdenhet ved å duplisere seg selv til en utpekt mappe, vanligvis kalt "Test". Innenfor denne mappen ligger skadevarebinæren, merket 'test.exe.' Valget av persistensmappen avhenger av nivået av privilegier gitt til BLOODALCHEMY og kan være en av fire muligheter: ProgramFiles, ProgramFiles(x86), Appdata eller LocalAppData\Programs.
Dessuten viste BLOODALCHEMY allsidighet i sine utholdenhetsmekanismer. Bemerkelsesverdige funksjoner inkluderte implementeringen av klassisk datamaskering gjennom strengkryptering og ytterligere obfuskeringsteknikker. Skadevaren opererer også i forskjellige moduser basert på konfigurasjonen, kjører i hovedtråden eller en separat, fungerer som en tjeneste, eller injiserer en shellcode etter å ha startet en Windows-prosess.
BLOODALCHEMY-bakdøren er en del av et større verktøysett for skadelig programvare
BLOODALCHEMY er en del av REF5961-inntrengningssettet, som i seg selv inneholder tre nye malware-familier som brukes i pågående angrep. Disse skadevarefamiliene har siden blitt knyttet til tidligere angrep.
Malwareprøver i REF5961 er også funnet i et tidligere inntrengningssett, REF2924, som antas å bli brukt i angrep på ASEAN-medlemmer, inkludert det mongolske utenriksdepartementet. De tre nye skadevarefamiliene til REF5961 har blitt kalt EAGERBEE, RUDEBIRD og DOWNTOWN.
Vanlige viktimologi-, verktøy- og henrettelsesflyter observert i flere kampanjer mot ASEAN-medlemmer har fått forskere til å tro at operatørene av REF5961 er Kina-justert.
