БЛООДАЛЦХЕМИ Бацкдоор
Стручњаци за сајбер безбедност недавно су открили тајну приступну тачку која се користи у сајбер нападима на владина тела и организације које припадају Асоцијацији нација југоисточне Азије (АСЕАН). Ови стручњаци називају „ДАЛЕХЕМИЈА КРВИ“, овај тајни улаз посебно циља на к86 системе и компонента је стратегије упада РЕФ5961, коју је недавно прихватила група са очигледним везама са Кином.
Стратегија упада се односи на спајање признатих тактика, метода и алата повезаних са нападом, као и на шире кампање којима ови напади доприносе. Обично ове стратегије упада користи неидентификовани усамљени нападач. Значајно је да је скуп алата повезан са РЕФ5961 такође примећен у посебном нападу усмереном на шпијунажу против владе Монголије.
Преглед садржаја
БЛООДАЛЦХЕМИ Бацкдоор је још увек у активном развоју
БЛООДАЛЦХЕМИ је нови бацкдоор који користе оператери иза РЕФ5961. Упркос учешћу искусних програмера злонамерног софтвера у његовом креирању, чини се да је то пројекат који још увек није у потпуности сазрео.
Иако функционише као функционална врста злонамерног софтвера и чини једну од три недавно откривене породице злонамерног софтвера издвојене из операција РЕФ5961, његове могућности су и даље донекле ограничене.
Иако непроверено, постојање ограниченог броја ефикасних команди наговештава могућност да би овај малвер могао да буде компонента веће стратегије упада или пакета малвера који је још увек у развоју, или да може бити изузетно специјализован део малвера дизајниран за специфичне тактичке сврхе.
Вишеструки механизми постојаности откривени у бацкдоор-у БЛООДАЛЦХЕМИ
Истраживачи су идентификовали ограничен скуп критичних команди у БЛООДАЛЦХЕМИ малверу. Ове команде су омогућиле различите функције као што су модификација скупа алата за малвер, извршавање програма малвера, његово деинсталирање и укидање и прикупљање информација о хосту.
Команда за деинсталирање показала се посебно откривајућом пошто је открила бројне технике које је КРВОВА ДАЉХЕМИЈА користила за одржавање упорности на циљаном систему. Овај бацкдоор успоставља своју постојаност тако што се дуплира у одређену фасциклу, која се обично зове „Тест“. У оквиру ове фасцикле налази се бинарни програм малвера, означен као „тест.еке“. Избор фасцикле за постојаност зависи од нивоа привилегија додељених БЛООДАЛЦХЕМИ-у и може бити једна од четири могућности: ПрограмФилес, ПрограмФилес(к86), Аппдата или ЛоцалАппДата\Програмс.
Штавише, БЛООДАЛЦХЕМИ је показала свестраност у својим механизмима постојаности. Значајне карактеристике укључивале су имплементацију класичног маскирања података кроз шифровање низова и додатне технике замагљивања. Злонамерни софтвер такође ради у различитим режимима на основу своје конфигурације, покреће се унутар главне нити или засебно, функционише као услуга или убризгава схеллцоде након покретања Виндовс процеса.
БЛООДАЛЦХЕМИ Бацкдоор је део већег скупа алата за малвер
БЛООДАЛЦХЕМИ је део РЕФ5961 скупа за упад, који и сам садржи три нове породице малвера који се користе у нападима који су у току. Ове породице злонамерног софтвера су од тада повезане са претходним нападима.
Узорци злонамерног софтвера у РЕФ5961 такође су пронађени у претходном скупу за упад, РЕФ2924, за који се верује да се користи у нападима на чланице АСЕАН-а, укључујући монголско Министарство спољних послова. Три нове породице малвера РЕФ5961 назване су ЕАГЕРБЕЕ, РУДЕБИРД и ДОВНТОВН.
Уобичајени токови виктимологије, алата и извршења примећени у више кампања против чланица АСЕАН-а навеле су истраживаче да верују да су оператери РЕФ5961 усклађени са Кином.
