КРОВОХИМИЯ Бэкдор
Эксперты по кибербезопасности недавно обнаружили скрытую точку доступа, используемую при кибератаках на правительственные органы и организации, входящие в Ассоциацию государств Юго-Восточной Азии (АСЕАН). Этот секретный вход, названный этими экспертами «BLOODALCHEMY», специально нацелен на системы x86 и является компонентом стратегии вторжения REF5961, недавно принятой группой, имеющей очевидные связи с Китаем.
Стратегия вторжения подразумевает объединение признанных тактик, методов и инструментов, связанных с атакой, а также более широких кампаний, которым способствуют эти атаки. Обычно эти стратегии вторжения используются неопознанным одиночным злоумышленником. Примечательно, что набор инструментов, связанный с REF5961, также был замечен в явном шпионском нападении на правительство Монголии.
Оглавление
Бэкдор BLOODALCHEMY все еще находится в активной разработке
BLOODALCHEMY — это новый бэкдор, используемый операторами REF5961. Несмотря на участие в его создании опытных разработчиков вредоносного ПО, этот проект, похоже, еще не до конца созрел.
Хотя он функционирует как функциональный штамм вредоносного ПО и образует одно из трех недавно выявленных семейств вредоносного ПО, выделенных в результате операций REF5961, его возможности остаются несколько ограниченными.
Хотя это и не проверено, существование ограниченного числа эффективных команд намекает на возможность того, что это вредоносное ПО может быть компонентом более крупной стратегии вторжения или набора вредоносных программ, который все еще находится в стадии разработки, или это может быть чрезвычайно специализированная часть вредоносного ПО, разработанная для конкретной тактической цели.
В бэкдоре BLOODALCHEMY раскрыты многочисленные механизмы устойчивости
Исследователи выявили ограниченный набор критических команд во вредоносном ПО BLOODALCHEMY. Эти команды включали различные функции, такие как изменение набора инструментов вредоносного ПО, выполнение вредоносной программы, ее удаление и завершение, а также сбор информации об хосте.
Команда удаления оказалась особенно показательной, поскольку она раскрыла многочисленные методы BLOODALCHEMY, используемые для поддержания устойчивости целевой системы. Этот бэкдор обеспечивает свою устойчивость путем дублирования себя в назначенную папку, обычно называемую «Test». В этой папке находится двоичный файл вредоносной программы с именем «test.exe». Выбор папки сохранения зависит от уровня привилегий, предоставленных BLOODALCHEMY, и может быть одним из четырех вариантов: ProgramFiles, ProgramFiles(x86), Appdata или LocalAppData\Programs.
Более того, BLOODALCHEMY продемонстрировала универсальность в своих механизмах устойчивости. Примечательные особенности включали реализацию классической маскировки данных посредством шифрования строк и дополнительных методов запутывания. Вредоносная программа также работает в различных режимах в зависимости от ее конфигурации: работает в основном потоке или в отдельном потоке, функционирует как служба или внедряет шелл-код после запуска процесса Windows.
Бэкдор BLOODALCHEMY является частью более крупного набора вредоносных программ
BLOODALCHEMY является частью набора вторжений REF5961, который сам содержит три новых семейства вредоносных программ, используемых в текущих атаках. Эти семейства вредоносных программ с тех пор были связаны с предыдущими атаками.
Образцы вредоносного ПО в REF5961 также были обнаружены в предыдущем наборе атак REF2924, который, как предполагается, использовался для атак на членов АСЕАН, включая Министерство иностранных дел Монголии. Три новых семейства вредоносных программ REF5961 получили названия EAGERBEE, RUDEBIRD и DOWNTOWN.
Общие виктимология, инструменты и схемы исполнения, наблюдаемые в многочисленных кампаниях против членов АСЕАН, привели исследователей к выводу, что операторы REF5961 связаны с Китаем.
