BLOODALCHEMY 後門

網路安全專家最近發現了一個秘密存取點，用於對東南亞國家聯盟 (ASEAN) 的政府機構和組織進行網路攻擊。這些專家將這種秘密入口稱為“BLOODALCHEMY”，專門針對 x86 系統，並且是 REF5961 入侵策略的組成部分，該策略最近受到一個與中國有明顯聯繫的組織的支持。

入侵策略是指與攻擊相關的公認策略、方法和工具的結合，以及這些攻擊所促成的更廣泛的活動。通常，這些入侵策略是由身份不明的單獨攻擊者採用的。值得注意的是，在針對蒙古政府的一次明顯的以間諜活動為重點的攻擊中也觀察到了與 REF5961 相關的工具集。

BLOODALCHEMY 後門仍在積極開發中

BLOODALCHEMY 是 REF5961 背後的操作者使用的新後門。儘管熟練的惡意軟體開發人員參與了其創建，但它似乎是一個尚未完全成熟的專案。

雖然它作為一種功能性惡意軟體菌株發揮作用，並構成最近從 REF5961 操作中剖析的三個惡意軟體家族之一，但其功能仍然受到一定限制。

儘管未經驗證，但有限數量的有效命令的存在暗示該惡意軟體可能是仍在開發的更大入侵策略或惡意軟體套件的組成部分，或者它可能是專為特定目的而設計的極其專業的惡意軟體。具體的戰術目的。

BLOODALCHEMY 後門中發現了多種持久性機制

研究人員在 BLOODALCHEMY 惡意軟體中發現了一組有限的關鍵命令。這些命令啟用了各種功能，例如修改惡意軟體工具集、執行惡意軟體程式、卸載和終止它以及收集主機資訊。

事實證明，卸載命令特別具有啟發性，因為它揭示了 BLOODALCHEMY 用於維持目標系統持久性的眾多技術。該後門透過將自身複製到指定資料夾（通常名為“Test”）中來建立其持久性。此資料夾中包含惡意軟體二進位文件，標記為“test.exe”。持久性資料夾的選擇取決於授予 BLOODALCHEMY 的權限級別，並且可以是四種可能性之一：ProgramFiles、ProgramFiles(x86)、Appdata 或 LocalAppData\Programs。

此外，BLOODALCHEMY 在其持久性機制方面表現出多功能性。值得注意的功能包括透過字串加密和其他混淆技術實現經典資料屏蔽。該惡意軟體還根據其配置以各種模式運行，在主執行緒或單獨的執行緒中運行，作為服務運行，或在啟動 Windows 進程後注入 shellcode。

BLOODALCHEMY 後門是更大的惡意軟體工具集的一部分

BLOODALCHEMY 是 REF5961 入侵集的一部分，該入侵集本身包含三個用於持續攻擊的新惡意軟體系列。此後，這些惡意軟體家族與先前的攻擊有關。

REF5961 中的惡意軟體樣本也在先前的入侵集 REF2924 中被發現，該入侵集據信用於攻擊東協成員國，包括蒙古外交部。 REF5961 的三個新惡意軟體系列分別稱為 EAGERBEE、RUDEBIRD 和 DOWNTOWN。

在針對東協成員國的多次活動中觀察到的常見受害者學、工具和執行流程使研究人員相信 REF5961 的運作者與中國保持一致。