BLOODALCHEMY Backdoor που αναπτύχθηκε κατά των ασιατικών χωρών

Εμπειρογνώμονες ασφαλείας εντόπισαν ένα κρυφό σημείο εισόδου που χρησιμοποιείται σε επιθέσεις εναντίον κυβερνήσεων και ιδρυμάτων εντός της Ένωσης Εθνών της Νοτιοανατολικής Ασίας (ASEAN).

Ονομάζεται "BLOODALCHEMY" από ερευνητές από το Elastic Security Labs, αυτό το backdoor στοχεύει συγκεκριμένα συστήματα x86 και συνδέεται με το σετ εισβολής REF5961, το οποίο υιοθετήθηκε πρόσφατα από μια ομάδα με συνδέσεις με την Κίνα.

Ένα σύνολο εισβολής είναι ένας όρος που κατηγοριοποιεί καθιερωμένες στρατηγικές, μεθόδους και εργαλεία που σχετίζονται με μια επίθεση και τις καμπάνιες στις οποίες αναπτύσσονται αυτές οι επιθέσεις. Συνήθως, αυτά τα σύνολα εισβολής χρησιμοποιούνται από έναν μόνο μη αναγνωρισμένο εισβολέα και το σύνολο εργαλείων του REF5961 έχει γίνει μάρτυρας σε μια ξεχωριστή επίθεση με επίκεντρο την κατασκοπεία στη μογγολική κυβέρνηση.

Το BLOODALCHEMY είναι το νέο backdoor που χρησιμοποιείται από τους χειριστές του REF5961. Ωστόσο, παρά την πεποίθηση ότι έμπειροι προγραμματιστές κακόβουλου λογισμικού έχουν εργαστεί σε αυτό το πρόγραμμα, εξακολουθεί να θεωρείται έργο σε εξέλιξη.

Αν και λειτουργεί ως στέλεχος κακόβουλου λογισμικού και αποτελεί μέρος των τριών οικογενειών κακόβουλου λογισμικού που ανακαλύφθηκαν πρόσφατα στο REF5961, οι δυνατότητές του εξακολουθούν να είναι αρκετά περιορισμένες.

Η Elastic δήλωσε σε μια ανάρτηση ιστολογίου ότι, αν και δεν είναι απολύτως βέβαιο, το κακόβουλο λογισμικό θα μπορούσε να είναι μέρος μιας μεγαλύτερης εργαλειοθήκης που βρίσκεται ακόμα υπό ανάπτυξη.

Οι ερευνητές μπόρεσαν να εντοπίσουν μόνο μερικές εντολές που επηρεάζουν, όπως τη δυνατότητα εγγραφής ή αντικατάστασης της εργαλειοθήκης κακόβουλου λογισμικού, την εκκίνηση του προγράμματος κακόβουλου λογισμικού, την απεγκατάσταση και τον τερματισμό του και τη συλλογή πληροφοριών κεντρικού υπολογιστή.

Η εντολή απεγκατάστασης αποκαλύπτει τις διάφορες μεθόδους που χρησιμοποιεί το BLOODALCHEMY για να διατηρήσει μια παρουσία στο στοχευμένο σύστημα. Το backdoor αντιγράφεται στον φάκελο επιμονής του δημιουργώντας έναν νέο κατάλογο που ονομάζεται "Test", μέσα στον οποίο βρίσκεται το "test.exe" - το δυαδικό κακόβουλο λογισμικό. Η επιλογή του φακέλου persistence εξαρτάται από το επίπεδο των δικαιωμάτων που παραχωρούνται στο BLOODALCHEMY και θα μπορούσε να είναι ένας από τους τέσσερις πιθανούς φακέλους: ProgramFiles, ProgramFiles(x86), Appdata ή LocalAppData\Programs.

Επιπλέον, το BLOODALCHEMY έχει αποδείξει την ικανότητά του να εδραιώνει την επιμονή με διάφορα μέσα. Οι αξιοσημείωτες δυνατότητες περιλαμβάνουν μια "κλασική" μέθοδο για την απόκρυψη δεδομένων μέσω κρυπτογράφησης συμβολοσειρών μαζί με πρόσθετες τεχνικές συσκότισης, καθώς και πολλαπλούς τρόπους λειτουργίας.

Ανάλογα με τη διαμόρφωση του κακόβουλου λογισμικού, μπορεί να λειτουργεί εντός του πρωτεύοντος νήματος ή σε ξεχωριστό, να λειτουργεί ως υπηρεσία ή να εισάγει κώδικα κελύφους μετά την εκκίνηση μιας διαδικασίας των Windows.

BLOODALCHEMY Μέρος του σετ εισβολής REF5961

Το BLOODALCHEMY είναι μέρος του συνόλου εισβολών REF5961, το οποίο περιλαμβάνει τρεις νέες οικογένειες κακόβουλου λογισμικού που χρησιμοποιούνται σε συνεχείς επιθέσεις. Αυτές οι οικογένειες κακόβουλου λογισμικού έχουν συσχετιστεί με προηγούμενες επιθέσεις λόγω κοινών προφίλ θυμάτων, συνόλων εργαλείων και μοτίβων εκτέλεσης που σημειώθηκαν σε πολλές καμπάνιες εναντίον μελών του ASEAN. Οι ερευνητές υποψιάζονται έντονα ότι οι χειριστές του REF5961 είναι ευθυγραμμισμένοι με την Κίνα.

Δείγματα κακόβουλου λογισμικού στο REF5961 έχουν επίσης εντοπιστεί σε ένα προηγούμενο σετ εισβολής, το REF2924, το οποίο πιστεύεται ότι χρησιμοποιήθηκε σε επιθέσεις εναντίον μελών του ASEAN, συμπεριλαμβανομένου του Υπουργείου Εξωτερικών της Μογγολίας.