BLOODALCHEMY Backdoor bevetése az ázsiai országok ellen

Biztonsági szakértők felfedeztek egy titkos belépési pontot, amelyet a Délkelet-ázsiai Nemzetek Szövetsége (ASEAN) kormányai és intézményei elleni támadásoknál alkalmaztak.

Az Elastic Security Labs kutatói által "BLOODALCHEMY"-nek nevezett hátsó ajtó kifejezetten az x86-os rendszereket célozza meg, és a REF5961 behatolókészlethez kapcsolódik, amelyet nemrégiben fogadott el egy Kínával kapcsolatban álló csoport.

A behatolási halmaz egy olyan kifejezés, amely kategorizálja a támadással kapcsolatos, bevett stratégiákat, módszereket és eszközöket, valamint azokat a kampányokat, amelyekben ezeket a támadásokat végrehajtják. Általában ezeket a behatolási készleteket egyetlen azonosítatlan támadó használja, és a REF5961 eszközkészletét egy külön kémkedésre összpontosító támadás is szemtanúja volt a mongol kormány ellen.

A BLOODALCHEMY az új hátsó ajtó, amelyet a REF5961 kezelői használnak. Mindazonáltal, annak ellenére, hogy az a meggyőződés, hogy képzett malware-fejlesztők dolgoztak ezen a programon, ez még mindig folyamatban lévő munkának tekinthető.

Bár a rosszindulatú programok egyik törzseként működik, és a REF5961-en belül a három nemrégiben felfedezett rosszindulatú programcsalád része, képességei még mindig meglehetősen korlátozottak.

Az Elastic egy blogbejegyzésben kijelentette, hogy bár ez nem teljesen biztos, a kártevő egy nagyobb, még fejlesztés alatt álló eszköztár része lehet.

A kutatók csak néhány hatásos parancsot tudtak azonosítani, mint például a rosszindulatú programok eszközkészletének írása vagy felülírása, a rosszindulatú program elindítása, eltávolítása és leállítása, valamint a gazdagépadatok gyűjtése.

Az uninstall parancs felfedi a BLOODALCHEMY által a célrendszeren való jelenlét fenntartására alkalmazott különféle módszereket. A hátsó ajtó megkettőzi magát a perzisztencia mappájába azáltal, hogy létrehoz egy új "Test" nevű könyvtárat, amelyben a "test.exe" - a rosszindulatú programok binárisa - található. A perzisztencia mappa kiválasztása a BLOODALCHEMY számára biztosított jogosultságok szintjétől függ, és a négy lehetséges mappa egyike lehet: ProgramFiles, ProgramFiles(x86), Appdata vagy LocalAppData\Programs.

Ezenkívül a BLOODALCHEMY bebizonyította, hogy különféle eszközökkel képes a kitartás megteremtésére. A figyelemre méltó képességek közé tartozik egy "klasszikus" módszer az adatok elrejtésére karakterlánc-titkosítással, valamint további homályosítási technikák, valamint többféle működési mód.

A rosszindulatú program konfigurációjától függően az elsődleges szálon belül vagy egy különálló szálon belül működhet, szolgáltatásként működhet, vagy egy Windows-folyamat elindítása után shellkódot vezethet be.

BLOODALCHEMY A REF5961 behatolási készlet része

A BLOODALCHEMY a REF5961 behatolási készlet része, amely három új rosszindulatú programcsaládot foglal magában, amelyeket folyamatos támadásokban használnak. Ezeket a rosszindulatú programcsaládokat a megosztott áldozatprofilok, eszközkészletek és végrehajtási minták miatt hozták összefüggésbe korábbi támadásokkal az ASEAN-tagok elleni kampányokban. A kutatók erősen gyanítják, hogy a REF5961 kezelői Kínához igazodnak.

A REF5961-en belüli rosszindulatú programmintákat egy korábbi behatolási csoportban, a REF2924-ben is azonosították, amelyet feltételezések szerint az ASEAN-tagok, köztük a mongol külügyminisztérium elleni támadásokban alkalmaztak.