Tylne drzwi BLOODALCHEMY
Eksperci ds. cyberbezpieczeństwa odkryli niedawno ukryty punkt dostępu wykorzystywany w cyberatakach na organy i organizacje rządowe należące do Stowarzyszenia Narodów Azji Południowo-Wschodniej (ASEAN). To tajne wejście, zwane przez tych ekspertów „BLOODALCHEMY”, jest skierowane w szczególności do systemów x86 i stanowi element strategii włamań REF5961, niedawno opracowanej przez grupę mającą widoczne powiązania z Chinami.
Strategia włamań odnosi się do połączenia uznanych taktyk, metod i narzędzi związanych z atakiem, a także szerszych kampanii, do których przyczyniają się te ataki. Zazwyczaj te strategie włamań są stosowane przez niezidentyfikowanego samotnego atakującego. Warto zauważyć, że zestaw narzędzi powiązany z REF5961 zaobserwowano także w wyraźnym ataku szpiegowskim na rząd Mongolii.
Spis treści
Backdoor BLOODALCHEMY jest wciąż w fazie aktywnego rozwoju
BLOODALCHEMY to nowy backdoor zastosowany przez operatorów stojących za REF5961. Pomimo zaangażowania w jego stworzenie wykwalifikowanych twórców szkodliwego oprogramowania, wydaje się, że jest to projekt, który nie jest jeszcze w pełni dojrzały.
Choć funkcjonuje jako funkcjonalny szczep złośliwego oprogramowania i stanowi jedną z trzech niedawno ujawnionych rodzin szkodliwego oprogramowania wyselekcjonowanych w ramach operacji REF5961, jego możliwości pozostają nieco ograniczone.
Chociaż nie zostało to zweryfikowane, istnienie ograniczonej liczby skutecznych poleceń wskazuje na możliwość, że to złośliwe oprogramowanie może być składnikiem większej strategii włamań lub pakietu złośliwego oprogramowania, który jest wciąż w fazie rozwoju, lub może być wyjątkowo wyspecjalizowanym złośliwym oprogramowaniem zaprojektowanym dla konkretny cel taktyczny.
W backdoorze BLOODALCHEMY odkryto wiele mechanizmów trwałości
Badacze zidentyfikowali ograniczony zestaw krytycznych poleceń w złośliwym oprogramowaniu BLOODALCHEMY. Polecenia te umożliwiały różne funkcje, takie jak modyfikowanie zestawu narzędzi złośliwego oprogramowania, uruchamianie szkodliwego programu, odinstalowywanie go i zamykanie oraz zbieranie informacji o hoście.
Polecenie deinstalacji okazało się szczególnie odkrywcze, ponieważ ujawniło liczne techniki stosowane przez BLOODALCHEMY w celu utrzymania trwałości w docelowym systemie. Ten backdoor ustanawia swoją trwałość poprzez powielanie się w wyznaczonym folderze, zwykle o nazwie „Test”. W tym folderze znajduje się plik binarny złośliwego oprogramowania oznaczony jako „test.exe”. Wybór folderu trwałości zależy od poziomu uprawnień nadanych BLOODALCHEMY i może być jedną z czterech możliwości: ProgramFiles, ProgramFiles(x86), Appdata lub LocalAppData\Programs.
Co więcej, projekt BLOODALCHEMY wykazał wszechstronność mechanizmów trwałości. Godne uwagi funkcje obejmowały implementację klasycznego maskowania danych poprzez szyfrowanie ciągów znaków i dodatkowe techniki zaciemniania. Szkodnik działa również w różnych trybach w zależności od konfiguracji, działając w ramach wątku głównego lub oddzielnego, funkcjonując jako usługa lub wstrzykiwając kod powłoki po zainicjowaniu procesu systemu Windows.
Backdoor BLOODALCHEMY jest częścią większego zestawu narzędzi szkodliwego oprogramowania
BLOODALCHEMY jest częścią zestawu włamań REF5961, który zawiera trzy nowe rodziny szkodliwego oprogramowania wykorzystywane w trwających atakach. Od tego czasu te rodziny szkodliwego oprogramowania zostały powiązane z poprzednimi atakami.
Próbki złośliwego oprogramowania w REF5961 znaleziono także w poprzednim zestawie włamań REF2924, który prawdopodobnie był wykorzystywany w atakach na członków ASEAN, w tym na mongolskie Ministerstwo Spraw Zagranicznych. Trzy nowe rodziny szkodliwego oprogramowania REF5961 zostały nazwane EAGERBEE, RUDEBIRD i DOWNTOWN.
Wspólna wiktymologia, narzędzia i przepływy egzekucji zaobserwowane w wielu kampaniach przeciwko członkom ASEAN doprowadziły badaczy do przekonania, że operatorzy REF5961 są powiązani z Chinami.
