BLOODALCHEMY Backdoor
Експерти з кібербезпеки нещодавно виявили приховану точку доступу, яка використовувалася для кібератак на урядові органи та організації, що входять до Асоціації держав Південно-Східної Азії (АСЕАН). Ці експерти назвали «BLOODALCHEMY», цей підпільний вхід спеціально націлений на системи x86 і є компонентом стратегії вторгнення REF5961, нещодавно прийнятої групою з очевидними зв’язками з Китаєм.
Стратегія вторгнення стосується об’єднання визнаних тактик, методів і інструментів, пов’язаних з атакою, а також ширших кампаній, до яких ці атаки сприяють. Як правило, ці стратегії вторгнення використовуються невідомими одиночними зловмисниками. Примітно, що набір інструментів, пов’язаний з REF5961, також спостерігався під час явного нападу на уряд Монголії, спрямованого на шпигунство.
Зміст
Бекдор BLOODALCHEMY все ще знаходиться в стадії активної розробки
BLOODALCHEMY — це свіжий бекдор, який використовують оператори REF5961. Незважаючи на участь кваліфікованих розробників шкідливого ПЗ у його створенні, схоже, що це проект, який ще не повністю зрілий.
Хоча він функціонує як функціональний різновид зловмисного програмного забезпечення та є одним із трьох нещодавно виявлених сімейств зловмисного програмного забезпечення, виділених із операцій REF5961, його можливості залишаються дещо обмеженими.
Існування обмеженої кількості ефективних команд, хоча й не перевірено, натякає на можливість того, що це зловмисне програмне забезпечення може бути компонентом більшої стратегії вторгнення чи набору зловмисних програм, який ще розробляється, або це може бути надзвичайно спеціалізована частина шкідливого програмного забезпечення, розроблена для конкретна тактична мета.
У бекдорі BLOODALCHEMY виявлено численні механізми стійкості
Дослідники виявили обмежений набір критичних команд у шкідливому ПЗ BLOODALCHEMY. Ці команди увімкнули різні функції, такі як модифікація набору інструментів зловмисного програмного забезпечення, виконання програми зловмисного програмного забезпечення, її видалення та завершення, а також збір інформації про хост.
Команда видалення виявилася особливо показовою, оскільки вона розкрила численні методи, які використовували BLOODALCHEMY для підтримки стійкості цільової системи. Цей бекдор забезпечує свою стійкість, дублюючись у призначеній папці, яка зазвичай називається «Тест». У цій папці міститься двійковий файл зловмисного програмного забезпечення з позначкою «test.exe». Вибір папки збереження залежить від рівня привілеїв, наданих BLOODALCHEMY, і може бути одним із чотирьох варіантів: ProgramFiles, ProgramFiles(x86), Appdata або LocalAppData\Programs.
Крім того, BLOODALCHEMY продемонструвала універсальність у своїх механізмах збереження. Серед відомих особливостей — реалізація класичного маскування даних за допомогою шифрування рядків і додаткових методів обфускації. Зловмисне програмне забезпечення також працює в різних режимах залежно від своєї конфігурації, працює в основному або окремому потоці, функціонує як служба або впроваджує шелл-код після запуску процесу Windows.
Бекдор BLOODALCHEMY є частиною більшого набору шкідливих програм
BLOODALCHEMY є частиною набору вторгнень REF5961, який містить три нові сімейства зловмисних програм, які використовуються в поточних атаках. З тих пір ці сімейства шкідливих програм були пов’язані з попередніми атаками.
Зразки зловмисного програмного забезпечення в REF5961 також були знайдені в попередньому наборі вторгнень REF2924, який, імовірно, використовувався для атак на членів АСЕАН, включаючи Міністерство закордонних справ Монголії. Три нові сімейства шкідливих програм REF5961 отримали назви EAGERBEE, RUDEBIRD і DOWNTOWN.
Загальна віктимологія, інструменти та потоки виконання, які спостерігаються під час кількох кампаній проти членів АСЕАН, змусили дослідників припустити, що оператори REF5961 пов’язані з Китаєм.
