BLOODALCHEMY Backdoor schierato contro i paesi asiatici
Esperti di sicurezza hanno individuato un punto di ingresso segreto utilizzato negli attacchi contro governi e istituzioni all’interno dell’Associazione delle nazioni del Sud-Est asiatico (ASEAN).
Chiamata "BLOODALCHEMY" dai ricercatori di Elastic Security Labs, questa backdoor prende di mira specificamente i sistemi x86 ed è collegata al set di intrusione REF5961, che è stato recentemente adottato da un gruppo con collegamenti in Cina.
Un set di intrusioni è un termine che classifica le strategie, i metodi e gli strumenti stabiliti associati a un attacco e alle campagne in cui questi attacchi vengono implementati. In genere, questi set di intrusioni vengono utilizzati da un singolo aggressore non identificato e il set di strumenti di REF5961 è stato testimoniato in un attacco separato incentrato sullo spionaggio contro il governo mongolo.
BLOODALCHEMY è la nuova backdoor utilizzata dagli operatori di REF5961. Tuttavia, nonostante si creda che abili sviluppatori di malware abbiano lavorato su questo programma, è ancora considerato un work in progress.
Sebbene funzioni come un ceppo di malware e faccia parte delle tre famiglie di malware scoperte di recente all'interno di REF5961, le sue capacità sono ancora piuttosto limitate.
Elastic ha dichiarato in un post sul blog che, sebbene non sia del tutto certo, il malware potrebbe far parte di un toolkit più ampio ancora in fase di sviluppo.
I ricercatori sono stati in grado di identificare solo alcuni comandi di grande impatto, come la possibilità di scrivere o sovrascrivere il toolkit malware, avviare il programma malware, disinstallarlo e terminarlo e raccogliere informazioni sull'host.
Il comando di disinstallazione rivela i vari metodi utilizzati da BLOODALCHEMY per mantenere la presenza sul sistema di destinazione. La backdoor si duplica nella sua cartella di persistenza creando una nuova directory chiamata "Test", all'interno della quale risiede "test.exe", il file binario del malware. La scelta della cartella di persistenza dipende dal livello di privilegi concessi a BLOODALCHEMY e potrebbe essere una delle quattro cartelle possibili: ProgramFiles, ProgramFiles(x86), Appdata o LocalAppData\Programs.
Inoltre, BLOODALCHEMY ha dimostrato la sua capacità di stabilire la persistenza attraverso vari mezzi. Funzionalità degne di nota includono un metodo "classico" per nascondere i dati tramite la crittografia delle stringhe insieme a tecniche di offuscamento aggiuntive, nonché molteplici modalità operative.
A seconda della configurazione del malware, può funzionare all'interno del thread primario o in un thread separato, funzionare come servizio o introdurre shellcode dopo l'avvio di un processo Windows.
BLOODALCHEMY Parte del set di intrusione REF5961
BLOODALCHEMY fa parte del set di intrusioni REF5961, che comprende tre nuove famiglie di malware utilizzate negli attacchi in corso. Queste famiglie di malware sono state associate ad attacchi precedenti a causa della condivisione di profili delle vittime, set di strumenti e modelli di esecuzione rilevati in numerose campagne contro i membri dell'ASEAN. I ricercatori sospettano fortemente che gli operatori di REF5961 siano allineati con la Cina.
Campioni di malware all'interno di REF5961 sono stati identificati anche in un precedente set di intrusioni, REF2924, che si ritiene sia stato utilizzato in attacchi contro i membri dell'ASEAN, compreso il Ministero degli Affari Esteri mongolo.
