BLOODALCHEMY 后门

网络安全专家最近发现了一个秘密接入点，用于对东南亚国家联盟 (ASEAN) 的政府机构和组织进行网络攻击。这些专家将这种秘密入口称为“BLOODALCHEMY”，专门针对 x86 系统，并且是 REF5961 入侵策略的组成部分，该策略最近受到一个与中国有明显联系的组织的支持。

入侵策略是指与攻击相关的公认策略、方法和工具的结合，以及这些攻击所促成的更广泛的活动。通常，这些入侵策略是由身份不明的单独攻击者采用的。值得注意的是，在针对蒙古政府的一次明显的以间谍活动为重点的攻击中也观察到了与 REF5961 相关的工具集。

BLOODALCHEMY 后门仍在积极开发中

BLOODALCHEMY 是 REF5961 背后的操作者使用的新后门。尽管熟练的恶意软件开发人员参与了其创建，但它似乎是一个尚未完全成熟的项目。

虽然它作为一种功能性恶意软件菌株发挥作用，并构成最近从 REF5961 操作中剖析的三个恶意软件家族之一，但其功能仍然受到一定限制。

尽管未经验证，但有限数量的有效命令的存在暗示该恶意软件可能是仍在开发的更大入侵策略或恶意软件套件的组成部分，或者它可能是专为特定目的而设计的极其专业的恶意软件。具体的战术目的。

BLOODALCHEMY 后门中发现了多种持久性机制

研究人员在 BLOODALCHEMY 恶意软件中发现了一组有限的关键命令。这些命令启用了各种功能，例如修改恶意软件工具集、执行恶意软件程序、卸载和终止它以及收集主机信息。

事实证明，卸载命令特别具有启发性，因为它揭示了 BLOODALCHEMY 用于维持目标系统持久性的众多技术。该后门通过将自身复制到指定文件夹（通常名为“Test”）中来建立其持久性。此文件夹中包含恶意软件二进制文件，标记为“test.exe”。持久性文件夹的选择取决于授予 BLOODALCHEMY 的权限级别，并且可以是四种可能性之一：ProgramFiles、ProgramFiles(x86)、Appdata 或 LocalAppData\Programs。

此外，BLOODALCHEMY 在其持久性机制方面表现出多功能性。值得注意的功能包括通过字符串加密和其他混淆技术实现经典数据屏蔽。该恶意软件还根据其配置以各种模式运行，在主线程或单独的线程中运行，作为服务运行，或者在启动 Windows 进程后注入 shellcode。

BLOODALCHEMY 后门是更大的恶意软件工具集的一部分

BLOODALCHEMY 是 REF5961 入侵集的一部分，该入侵集本身包含三个用于持续攻击的新恶意软件系列。此后，这些恶意软件家族与之前的攻击有关。

REF5961 中的恶意软件样本也在之前的入侵集 REF2924 中被发现，该入侵集据信用于攻击东盟成员国，包括蒙古外交部。 REF5961 的三个新恶意软件系列分别称为 EAGERBEE、RUDEBIRD 和 DOWNTOWN。

在针对东盟成员国的多次活动中观察到的常见受害者学、工具和执行流程使研究人员相信 REF5961 的运营者与中国保持一致。