BLOODALCHEMY-Hintertür gegen asiatische Länder eingesetzt

Sicherheitsexperten haben einen verdeckten Zugangspunkt entdeckt, der für Angriffe auf Regierungen und Institutionen innerhalb des Verbands Südostasiatischer Nationen (ASEAN) genutzt wird.

Diese von Forschern der Elastic Security Labs als „BLOODALCHEMY“ bezeichnete Hintertür zielt speziell auf x86-Systeme ab und ist mit dem Intrusion-Set REF5961 verknüpft, das kürzlich von einer Gruppe mit Verbindungen nach China übernommen wurde.

Ein Intrusion Set ist ein Begriff, der etablierte Strategien, Methoden und Tools im Zusammenhang mit einem Angriff und den Kampagnen, in denen diese Angriffe eingesetzt werden, kategorisiert. Typischerweise werden diese Intrusion-Sets von einem einzelnen, nicht identifizierten Angreifer verwendet, und das Toolset von REF5961 wurde bei einem separaten spionageorientierten Angriff auf die mongolische Regierung beobachtet.

BLOODALCHEMY ist die neuartige Hintertür, die von den Betreibern von REF5961 verwendet wird. Trotz der Annahme, dass erfahrene Malware-Entwickler an diesem Programm gearbeitet haben, gilt es dennoch als in Arbeit befindliches Programm.

Obwohl es sich um einen Malware-Stamm handelt und Teil der drei kürzlich entdeckten Malware-Familien innerhalb von REF5961 ist, sind seine Fähigkeiten immer noch recht begrenzt.

Elastic erklärte in einem Blogbeitrag, dass die Malware zwar nicht ganz sicher sei, aber Teil eines größeren Toolkits sein könnte, das sich noch in der Entwicklung befindet.

Forscher konnten nur wenige wirkungsvolle Befehle identifizieren, etwa die Fähigkeit, das Malware-Toolkit zu schreiben oder zu überschreiben, das Malware-Programm zu starten, es zu deinstallieren und zu beenden sowie Hostinformationen zu sammeln.

Der Deinstallationsbefehl enthüllt die verschiedenen Methoden, die BLOODALCHEMY einsetzt, um auf dem Zielsystem präsent zu bleiben. Die Hintertür dupliziert sich in ihren Persistenzordner, indem sie ein neues Verzeichnis namens „Test“ erstellt, in dem sich „test.exe“ befindet – die Malware-Binärdatei. Die Wahl des Persistenzordners hängt von der Ebene der BLOODALCHEMY gewährten Berechtigungen ab und kann einer von vier möglichen Ordnern sein: ProgramFiles, ProgramFiles(x86), Appdata oder LocalAppData\Programs.

Darüber hinaus hat BLOODALCHEMY seine Fähigkeit unter Beweis gestellt, auf verschiedene Weise Persistenz herzustellen. Zu den bemerkenswerten Funktionen gehören eine „klassische“ Methode zum Verbergen von Daten durch String-Verschlüsselung zusammen mit zusätzlichen Verschleierungstechniken sowie mehreren Betriebsmodi.

Abhängig von der Konfiguration der Malware kann sie innerhalb des primären Threads oder eines separaten Threads funktionieren, als Dienst fungieren oder nach dem Initiieren eines Windows-Prozesses Shellcode einführen.

BLOODALCHEMY Teil des Intrusion-Sets REF5961

BLOODALCHEMY ist Teil des REF5961-Intrusion-Sets, das drei neue Malware-Familien umfasst, die bei laufenden Angriffen eingesetzt werden. Diese Malware-Familien wurden aufgrund gemeinsamer Opferprofile, Toolsets und Ausführungsmuster, die in mehreren Kampagnen gegen ASEAN-Mitglieder festgestellt wurden, mit früheren Angriffen in Verbindung gebracht. Forscher vermuten stark, dass die Betreiber von REF5961 mit China verbündet sind.

Malware-Beispiele innerhalb von REF5961 wurden auch in einem früheren Intrusion-Set, REF2924, identifiziert, das vermutlich bei Angriffen gegen ASEAN-Mitglieder, darunter das mongolische Außenministerium, eingesetzt wurde.