BLOODALCHEMY Backdoor déployée contre les pays asiatiques

Les experts en sécurité ont détecté un point d'entrée secret utilisé dans des attaques contre des gouvernements et des institutions au sein de l'Association des nations de l'Asie du Sud-Est (ASEAN).

Appelée « BLOODALCHEMY » par les chercheurs d'Elastic Security Labs, cette porte dérobée cible spécifiquement les systèmes x86 et est liée à l'ensemble d'intrusion REF5961, qui a récemment été adopté par un groupe ayant des connexions avec la Chine.

Un ensemble d'intrusions est un terme qui catégorise les stratégies, méthodes et outils établis associés à une attaque et aux campagnes dans lesquelles ces attaques sont déployées. En règle générale, ces ensembles d'intrusions sont utilisés par un seul attaquant non identifié, et l'ensemble d'outils REF5961 a été observé lors d'une attaque distincte axée sur l'espionnage contre le gouvernement mongol.

BLOODALCHEMY est la nouvelle porte dérobée utilisée par les opérateurs de REF5961. Néanmoins, même si l’on pense que des développeurs de logiciels malveillants qualifiés ont travaillé sur ce programme, celui-ci est toujours considéré comme un travail en cours.

Bien qu’il fonctionne comme une souche de malware et qu’il fasse partie des trois familles de malwares récemment découvertes au sein du REF5961, ses capacités sont encore assez limitées.

Elastic a déclaré dans un article de blog que même si cela n'est pas tout à fait certain, le malware pourrait faire partie d'une boîte à outils plus vaste encore en développement.

Les chercheurs n'ont pu identifier que quelques commandes impactantes, telles que la possibilité d'écrire ou d'écraser la boîte à outils du malware, de lancer le programme malveillant, de le désinstaller et de le terminer, et de collecter des informations sur l'hôte.

La commande de désinstallation révèle les différentes méthodes utilisées par BLOODALCHEMY pour maintenir une présence sur le système ciblé. La porte dérobée se duplique dans son dossier de persistance en créant un nouveau répertoire appelé « Test », dans lequel réside « test.exe » – le binaire du malware. Le choix du dossier de persistance dépend du niveau de privilèges accordés à BLOODALCHEMY et peut être l'un des quatre dossiers possibles : ProgramFiles, ProgramFiles(x86), Appdata ou LocalAppData\Programs.

De plus, BLOODALCHEMY a démontré sa capacité à établir la persistance par divers moyens. Les capacités notables incluent une méthode « classique » de dissimulation des données via le cryptage de chaînes ainsi que des techniques d'obscurcissement supplémentaires, ainsi que plusieurs modes opérationnels.

Selon la configuration du logiciel malveillant, il peut fonctionner au sein du thread principal ou dans un thread distinct, fonctionner en tant que service ou introduire un shellcode après le lancement d'un processus Windows.

BLOODALCHEMY Fait partie du kit d'intrusion REF5961

BLOODALCHEMY fait partie de l'ensemble d'intrusions REF5961, qui englobe trois nouvelles familles de logiciels malveillants utilisés dans les attaques en cours. Ces familles de logiciels malveillants ont été associées à des attaques antérieures en raison des profils de victimes, des ensembles d'outils et des modèles d'exécution partagés constatés dans plusieurs campagnes contre les membres de l'ASEAN. Les chercheurs soupçonnent fortement que les opérateurs du REF5961 sont alignés sur la Chine.

Des échantillons de logiciels malveillants au sein de REF5961 ont également été identifiés dans un ensemble d'intrusions précédent, REF2924, qui aurait été utilisé dans des attaques contre des membres de l'ASEAN, notamment le ministère mongol des Affaires étrangères.