BLOODALCHEMY Backdoor
Kamakailan ay natuklasan ng mga eksperto sa cybersecurity ang isang tago na access point na ginagamit sa cyberattacks laban sa mga katawan at organisasyon ng pamahalaan na kabilang sa Association of Southeast Asian Nations (ASEAN). Tinaguriang 'BLOODALCHEMY' ng mga ekspertong ito, partikular na tina-target ng clandestine entryway na ito ang mga x86 system at isang bahagi ng diskarte sa panghihimasok ng REF5961, kamakailan na tinanggap ng isang grupong may maliwanag na koneksyon sa China.
Ang isang diskarte sa panghihimasok ay tumutukoy sa pagsasama-sama ng mga kinikilalang taktika, pamamaraan, at tool na nauugnay sa isang pag-atake, pati na rin ang mas malawak na mga kampanyang naiaambag ng mga pag-atake na ito. Karaniwan, ang mga diskarte sa panghihimasok na ito ay ginagamit ng isang hindi kilalang nag-iisa na umaatake. Kapansin-pansin, ang toolset na nauugnay sa REF5961 ay naobserbahan din sa isang natatanging pag-atake na nakatuon sa espiya laban sa gobyerno ng Mongolia.
Talaan ng mga Nilalaman
Ang BLOODALCHEMY Backdoor ay Nasa Aktibong Pagbuo pa rin
Ang BLOODALCHEMY ay ang sariwang backdoor na ginagamit ng mga operator sa likod ng REF5961. Sa kabila ng paglahok ng mga bihasang developer ng malware sa paglikha nito, lumilitaw na ito ay isang proyekto na hindi pa ganap na hinog.
Bagama't ito ay gumagana bilang isang functional malware strain at bumubuo ng isa sa tatlong kamakailang nahayag na pamilya ng malware na na-dissect mula sa mga operasyon ng REF5961, ang mga kakayahan nito ay nananatiling medyo pinaghihigpitan.
Bagama't hindi na-verify, ang pagkakaroon ng isang limitadong bilang ng mga epektibong command ay nagpapahiwatig ng posibilidad na ang malware na ito ay maaaring bahagi ng isang mas malaking diskarte sa panghihimasok o malware suite na ginagawa pa rin, o maaaring ito ay isang napaka-espesyal na piraso ng malware na idinisenyo para sa isang tiyak na layunin ng taktikal.
Maramihang Mga Mekanismo ng Pagtitiyaga na Natuklasan sa BLOODALCHEMY Backdoor
Natukoy ng mga mananaliksik ang isang limitadong hanay ng mga kritikal na utos sa BLOODALCHEMY malware. Pinagana ng mga utos na ito ang iba't ibang function tulad ng pagbabago sa toolset ng malware, pagsasagawa ng malware program, pag-uninstall at pagwawakas nito, at pagkolekta ng impormasyon ng host.
Ang utos sa pag-uninstall ay napatunayang partikular na nagsisiwalat dahil inilabas nito ang maraming mga pamamaraan na ginamit ng BLOODALCHEMY upang mapanatili ang pagtitiyaga sa target na sistema. Itinatag ng backdoor na ito ang pagtitiyaga nito sa pamamagitan ng pagdoble sa sarili nito sa isang itinalagang folder, karaniwang pinangalanang 'Test.' Sa loob ng folder na ito ay matatagpuan ang binary ng malware, na may label na 'test.exe.' Ang pagpili ng folder ng persistence ay depende sa antas ng mga pribilehiyong ibinibigay sa BLOODALCHEMY at maaaring isa sa apat na posibilidad: ProgramFiles, ProgramFiles(x86), Appdata o LocalAppData\Programs.
Bukod dito, ang BLOODALCHEMY ay nagpakita ng versatility sa mga mekanismo ng pagtitiyaga nito. Kasama sa mga kilalang feature ang pagpapatupad ng classic data masking sa pamamagitan ng string encryption at karagdagang obfuscation technique. Gumagana rin ang malware sa iba't ibang mga mode batay sa pagsasaayos nito, tumatakbo sa loob ng pangunahing thread o isang hiwalay na isa, gumagana bilang isang serbisyo, o nag-iniksyon ng shellcode pagkatapos magsimula ng proseso ng Windows.
Ang BLOODALCHEMY Backdoor ay Bahagi ng Mas Malaking Malware Toolset
Ang BLOODALCHEMY ay bahagi ng REF5961 intrusion set, na naglalaman mismo ng tatlong bagong pamilya ng malware na ginagamit sa mga patuloy na pag-atake. Ang mga pamilyang ito ng malware ay na-link na sa mga nakaraang pag-atake.
Ang mga sample ng malware sa REF5961 ay natagpuan din sa isang nakaraang intrusion set, REF2924, na pinaniniwalaang ginagamit sa mga pag-atake sa mga miyembro ng ASEAN, kabilang ang Mongolian Ministry of Foreign Affairs. Ang tatlong bagong pamilya ng malware ng REF5961 ay tinawag na EAGERBEE, RUDEBIRD, at DOWNTOWN.
Ang mga karaniwang pagdaloy ng victimology, tooling, at execution na naobserbahan sa maraming kampanya laban sa mga miyembro ng ASEAN ay humantong sa mga mananaliksik na maniwala na ang mga operator ng REF5961 ay nakahanay sa China.
