BLOODALCHEMY ประตูหลัง
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบจุดเชื่อมต่อแอบแฝงที่ใช้ในการโจมตีทางไซเบอร์ต่อหน่วยงานภาครัฐและองค์กรที่เป็นของสมาคมประชาชาติแห่งเอเชียตะวันออกเฉียงใต้ (อาเซียน) ผู้เชี่ยวชาญเหล่านี้เรียกว่า 'BLOODALCHEMY' โดยผู้เชี่ยวชาญเหล่านี้ ทางเข้าลับนี้มุ่งเป้าไปที่ระบบ x86 โดยเฉพาะ และเป็นส่วนหนึ่งของกลยุทธ์การบุกรุก REF5961 ซึ่งเพิ่งนำมาใช้โดยกลุ่มที่มีความเชื่อมโยงกับจีนอย่างชัดเจน
กลยุทธ์การบุกรุกหมายถึงการผสมผสานกลยุทธ์ วิธีการ และเครื่องมือที่ได้รับการยอมรับที่เกี่ยวข้องกับการโจมตี เช่นเดียวกับแคมเปญในวงกว้างที่การโจมตีเหล่านี้มีส่วนช่วย โดยปกติแล้ว กลยุทธ์การบุกรุกเหล่านี้จะถูกใช้โดยผู้โจมตีเดี่ยวที่ไม่ปรากฏชื่อ โดยเฉพาะอย่างยิ่ง ชุดเครื่องมือที่เกี่ยวข้องกับ REF5961 ยังถูกพบเห็นในการโจมตีรัฐบาลมองโกเลียที่เน้นการจารกรรมอย่างชัดเจน
สารบัญ
ประตูหลัง BLOODALCHEMY ยังอยู่ระหว่างการพัฒนา
BLOODALCHEMY เป็นประตูหลังใหม่ที่ใช้โดยผู้ปฏิบัติงานที่อยู่เบื้องหลัง REF5961 แม้ว่านักพัฒนามัลแวร์ผู้มีทักษะจะมีส่วนร่วมในการสร้างมันขึ้นมา แต่ดูเหมือนว่าจะเป็นโครงการที่ยังไม่สมบูรณ์เต็มที่
แม้ว่าจะทำหน้าที่เป็นสายพันธุ์มัลแวร์ที่ใช้งานได้และเป็นหนึ่งในสามตระกูลมัลแวร์ที่ถูกเปิดเผยเมื่อเร็วๆ นี้ ซึ่งแยกออกมาจากการดำเนินการ REF5961 แต่ความสามารถของมันยังคงค่อนข้างจำกัด
แม้ว่าจะไม่ได้รับการยืนยัน แต่การมีอยู่ของคำสั่งที่มีประสิทธิภาพจำนวนจำกัดก็บ่งบอกถึงความเป็นไปได้ที่มัลแวร์นี้อาจเป็นส่วนประกอบของกลยุทธ์การบุกรุกขนาดใหญ่หรือชุดมัลแวร์ที่ยังอยู่ระหว่างการพัฒนา หรืออาจเป็นมัลแวร์ชิ้นพิเศษที่ออกแบบมาเพื่อ วัตถุประสงค์ทางยุทธวิธีเฉพาะ
กลไกการคงอยู่หลายอย่างถูกเปิดเผยในแบ็คดอร์ BLOODALCHEMY
นักวิจัยระบุชุดคำสั่งสำคัญจำนวนจำกัดในมัลแวร์ BLOODALCHEMY คำสั่งเหล่านี้เปิดใช้งานฟังก์ชันต่างๆ เช่น การแก้ไขชุดเครื่องมือมัลแวร์ การรันโปรแกรมมัลแวร์ การถอนการติดตั้งและการยกเลิกมัน และการรวบรวมข้อมูลโฮสต์
คำสั่งถอนการติดตั้งได้รับการพิสูจน์แล้วว่าเปิดเผยเป็นพิเศษเมื่อมีการเปิดเผยเทคนิคมากมาย BLOODALCHEMY ที่ใช้เพื่อรักษาความคงอยู่ของระบบเป้าหมาย แบ็คดอร์นี้สร้างความคงอยู่โดยการทำซ้ำตัวเองลงในโฟลเดอร์ที่กำหนด ซึ่งโดยทั่วไปจะมีชื่อว่า 'Test' ภายในโฟลเดอร์นี้จะมีไบนารีของมัลแวร์ซึ่งมีชื่อว่า 'test.exe' ตัวเลือกโฟลเดอร์คงอยู่นั้นขึ้นอยู่กับระดับสิทธิ์ที่มอบให้กับ BLOODALCHEMY และสามารถเป็นหนึ่งในสี่ที่เป็นไปได้: ProgramFiles, ProgramFiles(x86), Appdata หรือ LocalAppData\Programs
ยิ่งไปกว่านั้น BLOODALCHEMY ยังแสดงให้เห็นถึงความคล่องตัวในกลไกการคงอยู่ของมัน คุณสมบัติเด่น ได้แก่ การใช้การปกปิดข้อมูลแบบคลาสสิกผ่านการเข้ารหัสสตริงและเทคนิคการทำให้งงงวยเพิ่มเติม มัลแวร์ยังทำงานในโหมดต่างๆ ตามการกำหนดค่า ทำงานภายในเธรดหลักหรือแยกจากกัน ทำงานเป็นบริการ หรือฉีดเชลล์โค้ดหลังจากเริ่มกระบวนการ Windows
แบ็คดอร์ BLOODALCHEMY เป็นส่วนหนึ่งของชุดเครื่องมือมัลแวร์ขนาดใหญ่
BLOODALCHEMY เป็นส่วนหนึ่งของชุดการบุกรุก REF5961 ซึ่งประกอบด้วยมัลแวร์ใหม่สามตระกูลที่ใช้ในการโจมตีอย่างต่อเนื่อง ตระกูลมัลแวร์เหล่านี้เชื่อมโยงกับการโจมตีครั้งก่อนๆ
ตัวอย่างมัลแวร์ใน REF5961 ยังถูกพบในชุดการบุกรุกก่อนหน้านี้ REF2924 ซึ่งเชื่อว่าถูกนำมาใช้ในการโจมตีสมาชิกอาเซียน รวมถึงกระทรวงการต่างประเทศมองโกเลีย มัลแวร์ใหม่สามตระกูลของ REF5961 มีชื่อว่า EAGERBEE, RUDEBIRD และ DOWNTOWN
เหยื่อวิทยา เครื่องมือ และกระแสการประหารชีวิตที่พบโดยทั่วไปในการรณรงค์ต่อต้านสมาชิกอาเซียนหลายรายการ ทำให้นักวิจัยเชื่อว่าผู้ดำเนินการ REF5961 นั้นมีความสอดคล้องกับจีน
