BLOODALCHEMY Backdoor
Experții în securitate cibernetică au descoperit recent un punct de acces ascuns folosit în atacurile cibernetice împotriva organismelor guvernamentale și organizațiilor aparținând Asociației Națiunilor din Asia de Sud-Est (ASEAN). Denumită „BLOODALCHEMY” de către acești experți, această intrare clandestină vizează în mod specific sistemele x86 și este o componentă a strategiei de intruziune REF5961, adoptată recent de un grup cu conexiuni aparente cu China.
O strategie de intruziune se referă la amalgamarea tacticilor, metodelor și instrumentelor recunoscute asociate unui atac, precum și la campaniile mai largi la care contribuie aceste atacuri. De obicei, aceste strategii de intruziune sunt folosite de un atacator solitar neidentificat. În special, setul de instrumente asociat cu REF5961 a fost observat și într-un asalt distinct concentrat pe spionaj împotriva guvernului Mongoliei.
Cuprins
Backdoorul BLOODALCHEMY este încă în dezvoltare activă
BLOODALCHEMY este ușa din spate proaspătă folosită de operatorii din spatele REF5961. În ciuda implicării unor dezvoltatori de malware calificați în crearea sa, pare a fi un proiect care nu este încă pe deplin maturat.
Deși funcționează ca o tulpină funcțională de malware și formează una dintre cele trei familii de malware dezvăluite recent disecate din operațiunile REF5961, capacitățile sale rămân oarecum limitate.
Deși neverificată, existența unui număr limitat de comenzi eficiente sugerează posibilitatea ca acest malware să fie o componentă a unei strategii mai mari de intruziune sau a unei suite de malware care este încă în curs de dezvoltare, sau ar putea fi o piesă de malware extrem de specializată, concepută pentru un scop tactic specific.
Mecanisme multiple de persistență descoperite în BLOODALCHEMY Backdoor
Cercetătorii au identificat un set limitat de comenzi critice în programul malware BLOODALCHEMY. Aceste comenzi au activat diverse funcții, cum ar fi modificarea setului de instrumente malware, executarea programului malware, dezinstalarea și terminarea acestuia și colectarea informațiilor despre gazdă.
Comanda de dezinstalare s-a dovedit deosebit de revelatoare, deoarece a dezvăluit numeroasele tehnici folosite de BLOODALCHEMY pentru a menține persistența pe sistemul vizat. Această ușă din spate își stabilește persistența duplicându-se într-un folder desemnat, de obicei numit „Test”. În acest folder se află binarul malware, etichetat „test.exe”. Alegerea folderului de persistență depinde de nivelul de privilegii acordat BLOODALCHEMY și poate fi una dintre cele patru posibilități: ProgramFiles, ProgramFiles(x86), Appdata sau LocalAppData\Programs.
Mai mult, BLOODALCHEMY a arătat versatilitate în mecanismele sale de persistență. Caracteristicile notabile au inclus implementarea mascării clasice a datelor prin criptarea șirurilor și tehnici suplimentare de ofuscare. Malware-ul funcționează, de asemenea, în diferite moduri în funcție de configurația sa, rulând în firul principal sau unul separat, funcționând ca un serviciu sau injectând un cod shell după inițierea unui proces Windows.
Backdoorul BLOODALCHEMY face parte dintr-un set de instrumente malware mai mare
BLOODALCHEMY face parte din setul de intruziune REF5961, care conține în sine trei noi familii de malware utilizate în atacuri în curs. Aceste familii de malware au fost de atunci legate de atacuri anterioare.
Mostre de malware din REF5961 au fost găsite și într-un set de intruziune anterior, REF2924, despre care se crede că este folosit în atacuri asupra membrilor ASEAN, inclusiv Ministerul Afacerilor Externe al Mongoliei. Cele trei noi familii de malware REF5961 au fost numite EAGERBEE, RUDEBIRD și DOWNTOWN.
Fluxurile comune de victimologie, instrumente și execuție observate în mai multe campanii împotriva membrilor ASEAN i-au determinat pe cercetători să creadă că operatorii REF5961 sunt aliniați cu China.
