BLODALKEMI Bakdörr
Cybersäkerhetsexperter har nyligen upptäckt en hemlig åtkomstpunkt som används vid cyberattacker mot statliga organ och organisationer som tillhör Association of Southeast Asian Nations (ASEAN). Denna hemliga entré, kallad "BLODALKEMI" av dessa experter, riktar sig specifikt till x86-system och är en del av REF5961-intrångsstrategin, som nyligen anammats av en grupp med uppenbara kopplingar till Kina.
En intrångsstrategi hänvisar till sammanslagning av erkänd taktik, metoder och verktyg förknippade med en attack, såväl som de bredare kampanjer dessa attacker bidrar till. Vanligtvis används dessa intrångsstrategier av en oidentifierad ensam angripare. Noterbart observerades verktygsuppsättningen associerad med REF5961 också i en distinkt spionagefokuserad attack mot Mongoliets regering.
Innehållsförteckning
Bakdörren för BLODALKEMI är fortfarande under aktiv utveckling
BLOODALCHEMY är den fräscha bakdörren som används av operatörerna bakom REF5961. Trots inblandning av skickliga utvecklare av skadlig programvara i skapandet, verkar det vara ett projekt som ännu inte är helt moget.
Även om det fungerar som en funktionell skadlig kod och bildar en av de tre nyligen avslöjade skadliga programfamiljerna som dissekerats från REF5961-verksamheten, är dess möjligheter fortfarande något begränsade.
Även om det inte är verifierat, antyder förekomsten av ett begränsat antal effektiva kommandon möjligheten att den här skadliga programvaran kan vara en komponent i en större intrångsstrategi eller skadlig programvara som fortfarande är under utveckling, eller så kan det vara en mycket specialiserad skadlig programvara designad för en ett specifikt taktiskt syfte.
Flera persistensmekanismer avslöjade i BLODALKEMI-bakdörren
Forskarna identifierade en begränsad uppsättning kritiska kommandon i skadlig programvara BLOODALCHEMY. Dessa kommandon aktiverade olika funktioner som att modifiera verktygsuppsättningen för skadlig programvara, köra skadlig programvara, avinstallera och avsluta den och samla in värdinformation.
Avinstallationskommandot visade sig särskilt avslöjande eftersom det avslöjade de många tekniker som BLOODALCHEMY använde för att upprätthålla uthållighet på det riktade systemet. Den här bakdörren etablerar sin uthållighet genom att duplicera sig själv till en avsedd mapp, vanligtvis kallad "Test". I den här mappen finns skadlig programvara binär, märkt 'test.exe.' Valet av persistensmapp beror på nivån av privilegier som beviljats BLOODALCHEMY och kan vara en av fyra möjligheter: ProgramFiles, ProgramFiles(x86), Appdata eller LocalAppData\Programs.
Dessutom uppvisade BLODALKEMI mångsidighet i sina persistensmekanismer. Anmärkningsvärda funktioner inkluderar implementeringen av klassisk datamaskering genom strängkryptering och ytterligare obfuskeringstekniker. Skadlig programvara fungerar också i olika lägen baserat på dess konfiguration, körs inom huvudtråden eller en separat, fungerar som en tjänst eller injicerar en skalkod efter att ha initierat en Windows-process.
BLOODALCHEMY-bakdörren är en del av en större verktygsuppsättning för skadlig programvara
BLOODALCHEMY är en del av intrångssetet REF5961, som i sig innehåller tre nya skadliga programfamiljer som används i pågående attacker. Dessa skadliga programfamiljer har sedan dess kopplats till tidigare attacker.
Skadlig programvara i REF5961 har också hittats i en tidigare intrångsuppsättning, REF2924, som tros användas vid attacker mot ASEAN-medlemmar, inklusive det mongoliska utrikesministeriet. De tre nya skadliga programfamiljerna i REF5961 har kallats EAGERBEE, RUDEBIRD och DOWNTOWN.
Vanliga viktimologi-, verktygs- och avrättningsflöden som observerats i flera kampanjer mot ASEAN-medlemmar har fått forskare att tro att operatörerna av REF5961 är Kina-anslutna.
