KANALKİMYA Arka Kapı
Siber güvenlik uzmanları yakın zamanda Güneydoğu Asya Ülkeleri Birliği'ne (ASEAN) ait devlet kurum ve kuruluşlarına yönelik siber saldırılarda kullanılan gizli bir erişim noktası keşfetti. Bu uzmanlar tarafından 'BLOODALCHEMY' olarak adlandırılan bu gizli giriş yolu, özellikle x86 sistemlerini hedef alıyor ve yakın zamanda Çin ile görünür bağlantıları olan bir grup tarafından benimsenen REF5961 izinsiz giriş stratejisinin bir bileşeni.
İzinsiz giriş stratejisi, bir saldırıyla ilişkili tanınmış taktiklerin, yöntemlerin ve araçların yanı sıra bu saldırıların katkıda bulunduğu daha geniş kampanyaların birleşimini ifade eder. Tipik olarak bu izinsiz giriş stratejileri, kimliği belirlenemeyen tek bir saldırgan tarafından kullanılır. Özellikle REF5961 ile ilişkili araç seti, Moğolistan hükümetine karşı yapılan casusluk odaklı farklı bir saldırıda da gözlemlendi.
İçindekiler
BLOODALCHEMY Arka Kapısı Hala Aktif Olarak Geliştirilme Aşamasındadır
BLOODALCHEMY, REF5961'in arkasındaki operatörler tarafından kullanılan yeni arka kapıdır. Yetenekli kötü amaçlı yazılım geliştiricilerinin yaratılışına dahil olmasına rağmen, henüz tam olarak olgunlaşmamış bir proje gibi görünüyor.
İşlevsel bir kötü amaçlı yazılım türü olarak işlev görmesine ve REF5961 operasyonlarından ayrıştırılan yakın zamanda ortaya çıkan üç kötü amaçlı yazılım ailesinden birini oluşturmasına rağmen, yetenekleri bir miktar kısıtlı olmaya devam ediyor.
Her ne kadar doğrulanmamış olsa da, sınırlı sayıda etkili komutun varlığı, bu kötü amaçlı yazılımın daha büyük bir izinsiz giriş stratejisinin veya halen geliştirilmekte olan kötü amaçlı yazılım paketinin bir bileşeni olabileceği ya da belirli bir amaç için tasarlanmış son derece özel bir kötü amaçlı yazılım parçası olabileceği ihtimaline işaret ediyor. özel taktiksel amaç.
BLOODALCHEMY Arka Kapısında Ortaya Çıkarılan Çoklu Kalıcılık Mekanizmaları
Araştırmacılar, BLOODALCHEMY kötü amaçlı yazılımında sınırlı sayıda kritik komut tespit etti. Bu komutlar, kötü amaçlı yazılım araç setini değiştirmek, kötü amaçlı yazılım programını yürütmek, programı kaldırıp sonlandırmak ve ana bilgisayar bilgilerini toplamak gibi çeşitli işlevleri etkinleştirdi.
Kaldırma komutu, BLOODALCHEMY'nin hedeflenen sistemde kalıcılığı sürdürmek için kullandığı sayısız tekniği ortaya çıkardığı için özellikle aydınlatıcı oldu. Bu arka kapı, kendisini genellikle 'Test' olarak adlandırılan belirlenmiş bir klasöre kopyalayarak kalıcılığını sağlar. Bu klasörün içinde 'test.exe' olarak etiketlenen kötü amaçlı yazılım ikili dosyası bulunur. Kalıcılık klasörünün seçimi BLOODALCHEMY'e verilen ayrıcalıkların düzeyine bağlıdır ve dört olasılıktan biri olabilir: ProgramFiles, ProgramFiles(x86), Appdata veya LocalAppData\Programs.
Üstelik BLOODALCHEMY kalıcılık mekanizmalarında çok yönlülük sergiledi. Dikkate değer özellikler arasında dize şifreleme ve ek gizleme teknikleri yoluyla klasik veri maskelemenin uygulanması yer alıyordu. Kötü amaçlı yazılım ayrıca, yapılandırmasına bağlı olarak çeşitli modlarda çalışır; ana iş parçacığı içinde veya ayrı bir iş parçacığı içinde çalışır, bir hizmet olarak çalışır veya bir Windows işlemini başlattıktan sonra bir kabuk kodu enjekte eder.
BLOODALCHEMY Arka Kapısı Daha Büyük Bir Kötü Amaçlı Yazılım Araç Setinin Bir Parçasıdır
BLOODALCHEMY, devam eden saldırılarda kullanılan üç yeni kötü amaçlı yazılım ailesini içeren REF5961 izinsiz giriş setinin bir parçasıdır. Bu kötü amaçlı yazılım aileleri o zamandan beri önceki saldırılarla ilişkilendirildi.
REF5961'deki kötü amaçlı yazılım örnekleri, Moğolistan Dışişleri Bakanlığı da dahil olmak üzere ASEAN üyelerine yönelik saldırılarda kullanıldığına inanılan önceki bir izinsiz giriş seti olan REF2924'te de bulundu. REF5961'in üç yeni kötü amaçlı yazılım ailesine EAGERBEE, RUDEBIRD ve DOWNTOWN adı verildi.
ASEAN üyelerine karşı yürütülen birden fazla kampanyada gözlemlenen ortak mağduriyet, araç kullanımı ve uygulama akışları, araştırmacıları REF5961 operatörlerinin Çin'le uyumlu olduğuna inanmaya yöneltti.
