BLOODALCHEMY Backdoor
Strokovnjaki za kibernetsko varnost so nedavno odkrili prikrito dostopno točko, uporabljeno pri kibernetskih napadih na vladne organe in organizacije, ki pripadajo Združenju držav jugovzhodne Azije (ASEAN). Ta skrivni vhod, ki so ga ti strokovnjaki poimenovali 'BLOODALCHEMY', cilja posebej na sisteme x86 in je sestavni del strategije vdorov REF5961, ki jo je nedavno sprejela skupina z očitnimi povezavami s Kitajsko.
Strategija vdora se nanaša na združitev priznanih taktik, metod in orodij, povezanih z napadom, kot tudi na širše kampanje, h katerim ti napadi prispevajo. Običajno te strategije vdora uporablja neidentificirani samotni napadalec. Zlasti nabor orodij, povezan z REF5961, je bil opažen tudi v izrazitem napadu na vlado Mongolije, osredotočenem na vohunjenje.
Kazalo
Backdoor BLOODALCHEMY je še v aktivnem razvoju
BLOODALCHEMY je nova stranska vrata, ki jih uporabljajo operaterji za REF5961. Kljub vpletenosti izkušenih razvijalcev zlonamerne programske opreme se zdi, da gre za projekt, ki še ni popolnoma dozorel.
Čeprav deluje kot funkcionalna različica zlonamerne programske opreme in tvori eno od treh nedavno razkritih družin zlonamerne programske opreme, razčlenjenih iz operacij REF5961, ostajajo njene zmogljivosti nekoliko omejene.
Čeprav ni preverjeno, obstoj omejenega števila učinkovitih ukazov namiguje na možnost, da bi bila ta zlonamerna programska oprema lahko sestavni del večje strategije vdorov ali zbirke zlonamerne programske opreme, ki je še v razvoju, ali pa bi lahko bila zelo specializirana zlonamerna programska oprema, zasnovana za poseben taktični namen.
Več mehanizmov obstojnosti, odkritih v zakulisju BLOODALCHEMY
Raziskovalci so identificirali omejen nabor kritičnih ukazov v zlonamerni programski opremi BLOODALCHEMY. Ti ukazi so omogočili različne funkcije, kot je spreminjanje nabora orodij zlonamerne programske opreme, izvajanje programa zlonamerne programske opreme, njegova odstranitev in prekinitev ter zbiranje informacij o gostitelju.
Ukaz za odstranitev se je izkazal za posebej razkrivajočega, saj je razkril številne tehnike, ki jih BLOODALCHEMY uporablja za ohranjanje obstojnosti v ciljnem sistemu. Ta stranska vrata vzpostavijo svojo obstojnost tako, da se podvojijo v določeno mapo, ki se običajno imenuje »Test«. V tej mapi se nahaja dvojiška datoteka zlonamerne programske opreme z oznako »test.exe«. Izbira obstojne mape je odvisna od ravni privilegijev, dodeljenih BLOODALCHEMY, in je lahko ena od štirih možnosti: ProgramFiles, ProgramFiles(x86), Appdata ali LocalAppData\Programs.
Poleg tega je BLOODALCHEMY pokazala vsestranskost v svojih mehanizmih obstojnosti. Pomembne funkcije so vključevale izvedbo klasičnega maskiranja podatkov s šifriranjem nizov in dodatne tehnike zamegljevanja. Zlonamerna programska oprema deluje tudi v različnih načinih glede na svojo konfiguracijo, teče znotraj glavne niti ali ločene niti, deluje kot storitev ali vbrizga lupinsko kodo po sprožitvi procesa Windows.
Backdoor BLOODALCHEMY je del večjega nabora orodij za zlonamerno programsko opremo
BLOODALCHEMY je del nabora vdorov REF5961, ki sam vsebuje tri nove družine zlonamerne programske opreme, ki se uporabljajo v stalnih napadih. Te družine zlonamerne programske opreme so bile od takrat povezane s prejšnjimi napadi.
Vzorci zlonamerne programske opreme v REF5961 so bili najdeni tudi v prejšnjem kompletu vdorov REF2924, za katerega se domneva, da se uporablja za napade na članice ASEAN, vključno z mongolskim ministrstvom za zunanje zadeve. Tri nove družine zlonamerne programske opreme REF5961 so se imenovale EAGERBEE, RUDEBIRD in DOWNTOWN.
Skupna viktimologija, orodja in izvedbeni tokovi, opaženi v številnih kampanjah proti članicam ASEAN, so raziskovalce pripeljali do domneve, da so operaterji REF5961 povezani s Kitajsko.
