BLOODALCHEMY Backdoor
Odborníci na kybernetickú bezpečnosť nedávno objavili skrytý prístupový bod používaný pri kybernetických útokoch proti vládnym orgánom a organizáciám patriacim do Asociácie národov juhovýchodnej Ázie (ASEAN). Tento tajný vstup, ktorý títo experti nazvali 'BLOODALCHEMY', sa špecificky zameriava na systémy x86 a je súčasťou stratégie prieniku REF5961, ktorú nedávno prijala skupina so zjavnými prepojeniami na Čínu.
Stratégia prieniku sa vzťahuje na zlúčenie uznávaných taktík, metód a nástrojov spojených s útokom, ako aj na širšie kampane, ku ktorým tieto útoky prispievajú. Tieto stratégie prieniku zvyčajne používa neidentifikovaný osamelý útočník. Najmä súprava nástrojov spojená s REF5961 bola pozorovaná aj pri výraznom útoku zameranom na špionáž proti vláde Mongolska.
Obsah
BLOODALCHEMY Backdoor je stále v aktívnom vývoji
BLOODALCHEMY sú nové zadné vrátka, ktoré používajú operátori za REF5961. Napriek zapojeniu skúsených vývojárov malvéru do jeho tvorby sa zdá, že ide o projekt, ktorý ešte nie je úplne vyzretý.
Aj keď funguje ako funkčný kmeň škodlivého softvéru a tvorí jednu z troch nedávno odhalených rodín malvéru vyčlenených z operácií REF5961, jeho možnosti zostávajú trochu obmedzené.
Aj keď to nie je overené, existencia obmedzeného počtu účinných príkazov naznačuje možnosť, že tento malvér by mohol byť súčasťou rozsiahlejšej stratégie narušovania alebo balíka malvéru, ktorý je stále vo vývoji, alebo môže ísť o mimoriadne špecializovaný malvér určený pre špecifický taktický účel.
Odhalenie viacerých mechanizmov vytrvalosti v BLOODALCHEMY Backdoor
Výskumníci identifikovali obmedzený súbor kritických príkazov v malvéri BLOODALCHEMY. Tieto príkazy umožňovali rôzne funkcie, ako je úprava sady nástrojov škodlivého softvéru, spustenie škodlivého programu, jeho odinštalovanie a ukončenie a zhromažďovanie informácií o hostiteľovi.
Príkaz na odinštalovanie sa ukázal ako mimoriadne odhaľujúci, pretože odhalil početné techniky BLOODALCHEMY používané na udržanie perzistencie na cieľovom systéme. Toto zadné vrátka vytvára svoju stálosť duplikovaním do určeného priečinka, ktorý sa zvyčajne nazýva „Test“. V tomto priečinku sa nachádza binárny súbor malvéru s označením „test.exe“. Výber priečinka perzistencie závisí od úrovne privilégií udelených BLOODALCHEMY a môže ísť o jednu zo štyroch možností: ProgramFiles, ProgramFiles(x86), Appdata alebo LocalAppData\Programs.
Okrem toho BLOODALCHEMY vykazovala všestrannosť vo svojich mechanizmoch perzistencie. Medzi pozoruhodné funkcie patrila implementácia klasického maskovania údajov prostredníctvom šifrovania reťazcov a ďalších techník zahmlievania. Malvér tiež funguje v rôznych režimoch podľa svojej konfigurácie, beží v rámci hlavného vlákna alebo samostatného vlákna, funguje ako služba alebo vkladá shell kód po spustení procesu Windows.
BLOODALCHEMY Backdoor je súčasťou väčšej sady malvérových nástrojov
BLOODALCHEMY je súčasťou súpravy prienikov REF5961, ktorá sama o sebe obsahuje tri nové rodiny malvéru používané v prebiehajúcich útokoch. Tieto rodiny malvéru boli odvtedy spojené s predchádzajúcimi útokmi.
Vzorky malvéru v REF5961 boli nájdené aj v predchádzajúcej súprave prienikov REF2924, o ktorej sa predpokladá, že bola použitá pri útokoch na členov ASEAN, vrátane mongolského ministerstva zahraničných vecí. Tri nové rodiny malvéru REF5961 sa nazývajú EAGERBEE, RUDEBIRD a DOWNTOWN.
Spoločná viktimológia, nástroje a toky vykonávania pozorované vo viacerých kampaniach proti členom ASEAN viedli výskumníkov k presvedčeniu, že operátori REF5961 sú orientovaní na Čínu.
