BLOODALCHEMY Backdoor
Os especialistas em segurança cibernética descobriram recentemente um ponto de acesso secreto utilizado em ataques cibernéticos contra órgãos governamentais e organizações pertencentes à Associação das Nações do Sudeste Asiático (ASEAN). Denominada 'BLOODALCHEMY' por estes especialistas, esta entrada clandestina visa especificamente sistemas x86 e é um componente da estratégia de intrusão REF5961, recentemente adoptada por um grupo com aparentes ligações à China.
Uma estratégia de intrusão refere-se à fusão de táticas, métodos e ferramentas reconhecidas associadas a um ataque, bem como às campanhas mais amplas para as quais esses ataques contribuem. Normalmente, essas estratégias de intrusão são empregadas por um invasor solitário e não identificado. Notavelmente, o conjunto de ferramentas associado ao REF5961 também foi observado num ataque distinto com foco em espionagem contra o governo da Mongólia.
Índice
O Backdoor BLOODALCHEMY Ainda está em Desenvolvimento Ativo
O BLOODALCHEMY é o novo backdoor empregado pelos operadores por trás do REF5961. Apesar do envolvimento de desenvolvedores de malware qualificados na sua criação, parece ser um projeto que ainda não está totalmente amadurecido.
Embora funcione como uma variedade de malware funcional e forme uma das três famílias de malware recentemente reveladas e dissecadas nas operações REF5961, suas capacidades permanecem um tanto restritas.
Embora não tenha sido verificado, a existência de um número limitado de comandos eficazes sugere a possibilidade de que este malware possa ser um componente de uma estratégia de intrusão maior ou de um conjunto de malware que ainda está em desenvolvimento, ou pode ser um malware extremamente especializado, projetado para um propósito tático específico.
Múltiplos Mecanismos de Persistência Descobertos no Backdoor BLOODALCHEMY
Os pesquisadores identificaram um conjunto limitado de comandos críticos no malware BLOODALCHEMY. Esses comandos ativaram várias funções, como modificar o conjunto de ferramentas de malware, executar o programa de malware, desinstalá-lo e encerrá-lo e coletar informações do host.
O comando de desinstalação provou ser particularmente revelador, pois revelou as inúmeras técnicas que o BLOODALCHEMY empregou para manter a persistência no sistema visado. Esse backdoor estabelece sua persistência duplicando-se em uma pasta designada, normalmente chamada de ‘Teste’. Dentro desta pasta reside o binário do malware, denominado 'test.exe'. A escolha da pasta de persistência depende do nível de privilégios concedidos ao BLOODALCHEMY e pode ser uma das quatro possibilidades: ProgramFiles, ProgramFiles(x86), Appdata ou LocalAppData\Programs.
Além disso, BLOODALCHEMY exibiu versatilidade em seus mecanismos de persistência. Recursos notáveis incluíram a implementação de mascaramento clássico de dados por meio de criptografia de string e técnicas adicionais de ofuscação. O malware também opera em vários modos com base em sua configuração, sendo executado no thread principal ou em um thread separado, funcionando como um serviço ou injetando um shellcode após iniciar um processo do Windows.
O Backdoor BLOODALCHEMY faz Parte de um Conjunto Maior de fFrramentas de Malware
O BLOODALCHEMY faz parte do conjunto de intrusões REF5961, que contém três novas famílias de malware usadas em ataques contínuos. Desde então, essas famílias de malware foram associadas a ataques anteriores.
Amostras de malware no REF5961 também foram encontradas em um conjunto de intrusão anterior, REF2924, que se acredita ter sido usado em ataques a membros da ASEAN, incluindo o Ministério das Relações Exteriores da Mongólia. As três novas famílias de malware REF5961 foram chamadas EAGERBEE, RUDEBIRD e DOWNTOWN.
Vitimologia comum, ferramentas e fluxos de execução observados em múltiplas campanhas contra membros da ASEAN levaram os investigadores a acreditar que os operadores do REF5961 estão alinhados com a China.
