Cửa sau hóa máu
Các chuyên gia an ninh mạng gần đây đã phát hiện ra một điểm truy cập bí mật được sử dụng trong các cuộc tấn công mạng nhằm vào các cơ quan chính phủ và tổ chức thuộc Hiệp hội các quốc gia Đông Nam Á (ASEAN). Được các chuyên gia này gọi là 'HÓA MÁU', lối vào bí mật này đặc biệt nhắm mục tiêu vào các hệ thống x86 và là một thành phần của chiến lược xâm nhập REF5961, gần đây đã được một nhóm có mối liên hệ rõ ràng với Trung Quốc áp dụng.
Chiến lược xâm nhập đề cập đến sự hợp nhất của các chiến thuật, phương pháp và công cụ đã được công nhận liên quan đến một cuộc tấn công cũng như các chiến dịch rộng lớn hơn mà các cuộc tấn công này góp phần vào. Thông thường, các chiến lược xâm nhập này được sử dụng bởi một kẻ tấn công đơn độc không xác định được danh tính. Đáng chú ý, bộ công cụ liên quan đến REF5961 cũng được phát hiện trong một cuộc tấn công tập trung vào hoạt động gián điệp nhằm vào chính phủ Mông Cổ.
Mục lục
Backdoor BLOODALCHEMY vẫn đang được phát triển tích cực
BLOODALCHEMY là cửa hậu mới được những kẻ đứng đằng sau REF5961 sử dụng. Bất chấp sự tham gia của các nhà phát triển phần mềm độc hại lành nghề trong quá trình tạo ra nó, nó dường như là một dự án vẫn chưa hoàn thiện.
Mặc dù nó hoạt động như một dòng phần mềm độc hại chức năng và là một trong ba họ phần mềm độc hại được tiết lộ gần đây được phân tích từ các hoạt động REF5961, nhưng khả năng của nó vẫn bị hạn chế phần nào.
Mặc dù chưa được xác minh, sự tồn tại của một số lượng hạn chế các lệnh hiệu quả gợi ý khả năng phần mềm độc hại này có thể là một thành phần của chiến lược xâm nhập lớn hơn hoặc bộ phần mềm độc hại vẫn đang được phát triển hoặc có thể là một phần mềm độc hại cực kỳ chuyên biệt được thiết kế cho một mục đích chiến thuật cụ thể.
Nhiều cơ chế tồn tại được phát hiện trong cửa sau BLOODALCHEMY
Các nhà nghiên cứu đã xác định được một số lệnh quan trọng trong phần mềm độc hại BLOODALCHEMY. Các lệnh này kích hoạt nhiều chức năng khác nhau như sửa đổi bộ công cụ phần mềm độc hại, thực thi chương trình phần mềm độc hại, gỡ cài đặt và chấm dứt nó cũng như thu thập thông tin máy chủ.
Lệnh gỡ cài đặt tỏ ra đặc biệt tiết lộ khi nó tiết lộ nhiều kỹ thuật BLOODALCHEMY sử dụng để duy trì sự tồn tại trên hệ thống mục tiêu. Cửa hậu này thiết lập sự tồn tại của nó bằng cách tự sao chép chính nó vào một thư mục được chỉ định, thường có tên là 'Thử nghiệm'. Trong thư mục này chứa tệp nhị phân phần mềm độc hại, được gắn nhãn 'test.exe.' Việc lựa chọn thư mục lưu giữ lâu dài tùy thuộc vào mức độ đặc quyền được cấp cho BLOODALCHEMY và có thể là một trong bốn khả năng: ProgramFiles, ProgramFiles(x86), Appdata hoặc LocalAppData\Programs.
Hơn nữa, BLOODALCHEMY thể hiện tính linh hoạt trong cơ chế tồn tại của nó. Các tính năng đáng chú ý bao gồm việc triển khai mặt nạ dữ liệu cổ điển thông qua mã hóa chuỗi và các kỹ thuật che giấu bổ sung. Phần mềm độc hại cũng hoạt động ở nhiều chế độ khác nhau dựa trên cấu hình của nó, chạy trong luồng chính hoặc một luồng riêng biệt, hoạt động như một dịch vụ hoặc tiêm shellcode sau khi khởi tạo quy trình Windows.
Backdoor BLOODALCHEMY là một phần của bộ công cụ phần mềm độc hại lớn hơn
BLOODALCHEMY là một phần của nhóm xâm nhập REF5961, nhóm này chứa ba họ phần mềm độc hại mới đang được sử dụng trong các cuộc tấn công đang diễn ra. Các họ phần mềm độc hại này đã được liên kết với các cuộc tấn công trước đó.
Các mẫu phần mềm độc hại trong REF5961 cũng đã được tìm thấy trong loạt xâm nhập trước đó, REF2924, được cho là được sử dụng để tấn công các thành viên ASEAN, bao gồm cả Bộ Ngoại giao Mông Cổ. Ba họ phần mềm độc hại mới của REF5961 được gọi là EAGERBEE, RUDEBIRD và DOWNTOWN.
Các luồng nạn nhân, công cụ và thực thi phổ biến được quan sát thấy trong nhiều chiến dịch chống lại các thành viên ASEAN đã khiến các nhà nghiên cứu tin rằng những kẻ điều hành REF5961 có liên kết với Trung Quốc.
