BLOODALCHEMY Backdoor
Ekspertët e sigurisë kibernetike kanë zbuluar kohët e fundit një pikë aksesi të fshehtë të përdorur në sulmet kibernetike kundër organeve dhe organizatave qeveritare që i përkasin Shoqatës së Kombeve të Azisë Juglindore (ASEAN). E quajtur 'BLODALCHEMY' nga këta ekspertë, kjo hyrje klandestine synon në mënyrë specifike sistemet x86 dhe është një komponent i strategjisë së ndërhyrjes REF5961, e përqafuar së fundmi nga një grup me lidhje të dukshme me Kinën.
Një strategji ndërhyrjeje i referohet bashkimit të taktikave, metodave dhe mjeteve të njohura që lidhen me një sulm, si dhe fushatave më të gjera në të cilat kontribuojnë këto sulme. Në mënyrë tipike, këto strategji ndërhyrjeje përdoren nga një sulmues i vetëm i paidentifikuar. Veçanërisht, grupi i mjeteve të lidhura me REF5961 u vu re gjithashtu në një sulm të veçantë të fokusuar në spiunazh kundër qeverisë së Mongolisë.
Tabela e Përmbajtjes
Backdoor BLOODALCHEMY është ende në zhvillim aktiv
BLOODALCHEMY është porta e prapme e freskët e përdorur nga operatorët pas REF5961. Pavarësisht përfshirjes së zhvilluesve të aftë të malware në krijimin e tij, duket se është një projekt që ende nuk është pjekur plotësisht.
Ndërsa funksionon si një lloj malware funksional dhe formon një nga tre familjet e malware të zbuluara së fundmi, të shkëputura nga operacionet REF5961, aftësitë e tij mbeten disi të kufizuara.
Megjithëse e paverifikuar, ekzistenca e një numri të kufizuar komandash efektive lë të kuptohet se ky malware mund të jetë një komponent i një strategjie më të madhe ndërhyrjeje ose paketë malware që është ende në zhvillim e sipër, ose mund të jetë një pjesë jashtëzakonisht e specializuar e malware-it e krijuar për një qëllim specifik taktik.
Mekanizma të shumëfishtë të qëndrueshmërisë të zbuluara në derën e pasme të BLOODALCHEMY
Studiuesit identifikuan një grup të kufizuar komandash kritike në malware BLOODALCHEMY. Këto komanda mundësonin funksione të ndryshme si modifikimi i grupit të veglave të malware, ekzekutimi i programit malware, çinstalimi dhe përfundimi i tij dhe mbledhja e informacionit të hostit.
Komanda e çinstalimit u tregua veçanërisht zbuluese pasi zbuloi teknikat e shumta të BLOODALCHEMY të përdorura për të ruajtur qëndrueshmërinë në sistemin e synuar. Kjo backdoor vendos qëndrueshmërinë e saj duke u dublikuar në një dosje të caktuar, zakonisht të quajtur 'Test'. Brenda kësaj dosjeje ndodhet binar i malware, i emërtuar "test.exe". Zgjedhja e dosjes së qëndrueshmërisë varet nga niveli i privilegjeve që i janë dhënë BLOODALCHEMY dhe mund të jetë një nga katër mundësitë: ProgramFiles, ProgramFiles(x86), Appdata ose LocalAppData\Programs.
Për më tepër, BLOODALCHEMY shfaqi shkathtësi në mekanizmat e saj të qëndrueshmërisë. Karakteristikat e dukshme përfshinin zbatimin e maskimit klasik të të dhënave përmes enkriptimit të vargut dhe teknikave shtesë të turbullimit. Malware funksionon gjithashtu në mënyra të ndryshme bazuar në konfigurimin e tij, duke ekzekutuar brenda fillit kryesor ose në një të veçantë, duke funksionuar si shërbim ose duke injektuar një kod shell pas fillimit të një procesi Windows.
Backdoor BLOODALCHEMY është pjesë e një grupi më të madh mjetesh malware
BLOODALCHEMY është pjesë e grupit të ndërhyrjes REF5961, i cili në vetvete përmban tre familje të reja malware që përdoren në sulme të vazhdueshme. Këto familje malware që atëherë janë lidhur me sulme të mëparshme.
Mostrat e malware në REF5961 janë gjetur gjithashtu në një grup të mëparshëm të ndërhyrjes, REF2924, i cili besohet të përdoret në sulmet ndaj anëtarëve të ASEAN, duke përfshirë Ministrinë e Punëve të Jashtme Mongole. Tre familjet e reja malware të REF5961 janë quajtur EAGERBEE, RUDEBIRD dhe DOWNTOWN.
Rrjedhat e zakonshme të viktimologjisë, instrumenteve dhe ekzekutimit të vëzhguara në fushata të shumta kundër anëtarëve të ASEAN kanë bërë që studiuesit të besojnë se operatorët e REF5961 janë të lidhur me Kinën.
