BLOEDALCHEMIE Achterdeur
Cybersecurity-experts hebben onlangs een geheim toegangspunt ontdekt dat wordt gebruikt bij cyberaanvallen tegen overheidsinstanties en organisaties die behoren tot de Associatie van Zuidoost-Aziatische Naties (ASEAN). Deze clandestiene toegangspoort, door deze experts 'BLOODALCHEMY' genoemd, richt zich specifiek op x86-systemen en is een onderdeel van de REF5961-inbraakstrategie, die onlangs is omarmd door een groep met duidelijke connecties met China.
Een inbraakstrategie verwijst naar de samensmelting van erkende tactieken, methoden en hulpmiddelen die verband houden met een aanval, evenals de bredere campagnes waaraan deze aanvallen bijdragen. Meestal worden deze inbraakstrategieën gebruikt door een onbekende, eenzame aanvaller. Met name werd de toolset geassocieerd met REF5961 ook waargenomen in een duidelijke spionagegerichte aanval op de regering van Mongolië.
Inhoudsopgave
De BLOODALCHEMY-achterdeur wordt nog steeds actief ontwikkeld
BLOODALCHEMY is de nieuwe achterdeur die wordt gebruikt door de operators achter REF5961. Ondanks de betrokkenheid van bekwame malware-ontwikkelaars bij de creatie ervan, lijkt het een project dat nog niet volledig volwassen is.
Hoewel het functioneert als een functionele malwaresoort en een van de drie onlangs onthulde malwarefamilies vormt die uit de REF5961-operaties zijn ontleed, blijven de mogelijkheden ervan enigszins beperkt.
Hoewel niet geverifieerd, duidt het bestaan van een beperkt aantal effectieve commando's op de mogelijkheid dat deze malware een onderdeel zou kunnen zijn van een grotere inbraakstrategie of malwaresuite die nog in ontwikkeling is, of dat het een buitengewoon gespecialiseerd stuk malware zou kunnen zijn dat is ontworpen voor een specifiek tactisch doel.
Meerdere persistentiemechanismen ontdekt in de achterdeur van BLOODALCHEMY
De onderzoekers identificeerden een beperkte reeks kritische opdrachten in de BLOODALCHEMY-malware. Deze opdrachten maakten verschillende functies mogelijk, zoals het wijzigen van de malwaretoolset, het uitvoeren van het malwareprogramma, het verwijderen en beëindigen ervan, en het verzamelen van hostinformatie.
Het verwijderingscommando bleek bijzonder onthullend omdat het de talrijke technieken onthulde die BLOODALCHEMY gebruikte om de persistentie op het beoogde systeem te behouden. Deze achterdeur bevestigt zijn persistentie door zichzelf te dupliceren in een aangewezen map, meestal genaamd 'Test'. In deze map bevindt zich de binaire malware, genaamd 'test.exe'. De keuze van de persistentiemap hangt af van het niveau van de bevoegdheden die aan BLOODALCHEMY zijn verleend en kan uit vier mogelijkheden bestaan: ProgramFiles, ProgramFiles(x86), Appdata of LocalAppData\Programs.
Bovendien vertoonde BLOODALCHEMY veelzijdigheid in zijn persistentiemechanismen. Opvallende kenmerken waren onder meer de implementatie van klassieke gegevensmaskering door middel van string-encryptie en aanvullende verduisteringstechnieken. De malware werkt ook in verschillende modi, afhankelijk van de configuratie: deze draait binnen de hoofdthread of een aparte thread, functioneert als een service of injecteert een shellcode na het starten van een Windows-proces.
De BLOODALCHEMY-achterdeur maakt deel uit van een grotere malware-toolset
BLOODALCHEMY maakt deel uit van de REF5961-inbraakset, die zelf drie nieuwe malwarefamilies bevat die worden gebruikt bij voortdurende aanvallen. Deze malwarefamilies zijn inmiddels in verband gebracht met eerdere aanvallen.
Malwaremonsters in REF5961 zijn ook gevonden in een eerdere inbraakset, REF2924, die vermoedelijk werd gebruikt bij aanvallen op ASEAN-leden, waaronder het Mongoolse Ministerie van Buitenlandse Zaken. De drie nieuwe malwarefamilies van REF5961 heten EAGERBEE, RUDEBIRD en DOWNTOWN.
Gemeenschappelijke slachtofferpraktijken, instrumenten en executiestromen die in meerdere campagnes tegen ASEAN-leden zijn waargenomen, hebben ertoe geleid dat onderzoekers geloven dat de exploitanten van REF5961 zich op China richten.
