BLOODALCHEMY バックドアがアジア諸国に対して展開

安全保障専門家は、東南アジア諸国連合（ASEAN）内の政府や機関に対する攻撃に利用された秘密の侵入ポイントを発見した。

Elastic Security Labs の研究者によって「BLOODALCHEMY」と名付けられたこのバックドアは、特に x86 システムをターゲットにしており、中国とつながりのあるグループによって最近採用された REF5961 侵入セットにリンクされています。

侵入セットとは、攻撃に関連する確立された戦略、手法、ツール、およびこれらの攻撃が展開されるキャンペーンを分類する用語です。通常、これらの侵入セットは 1 人の身元不明の攻撃者によって使用され、REF5961 のツールセットはモンゴル政府に対する別のスパイ活動に焦点を当てた攻撃で目撃されています。

BLOODALCHEMY は、REF5961 のオペレーターが使用する斬新なバックドアです。それにもかかわらず、熟練したマルウェア開発者がこのプログラムに取り組んでいると考えられていますが、まだ進行中の作業とみなされています。

これはマルウェアの一種として機能し、REF5961 内で最近発見された 3 つのマルウェア ファミリの一部ですが、その機能は依然としてかなり制限されています。

Elasticはブログ投稿で、完全に確実ではないものの、このマルウェアは開発中のより大きなツールキットの一部である可能性があると述べた。

研究者が特定できたのは、マルウェア ツールキットの書き込みまたは上書き、マルウェア プログラムの起動、アンインストールと終了、ホスト情報の収集など、影響力のあるコマンドのいくつかだけです。

アンインストール コマンドは、BLOODALCHEMY がターゲット システム上での存在を維持するために採用しているさまざまな方法を明らかにします。バックドアは、「Test」という名前の新しいディレクトリを作成することにより、自身を永続フォルダに複製します。そのディレクトリ内には、マルウェア バイナリである「test.exe」が存在します。永続フォルダーの選択は、BLOODALCHEMY に付与された権限のレベルによって異なり、ProgramFiles、ProgramFiles(x86)、Appdata、または LocalAppData\Programs の 4 つのフォルダーのいずれかになります。

さらに、BLOODALCHEMY は、さまざまな手段を通じて持続性を確立する能力を実証しました。注目すべき機能には、文字列暗号化と追加の難読化技術によってデータを秘匿するための「古典的な」方法や、複数の動作モードが含まれます。

マルウェアの構成に応じて、プライマリ スレッドまたは別個のスレッド内で機能したり、サービスとして動作したり、Windows プロセスの開始後にシェルコードを導入したりすることができます。

BLOODALCHEMY REF5961 侵入セットの一部

BLOODALCHEMY は REF5961 侵入セットの一部であり、進行中の攻撃で使用される 3 つの新しいマルウェア ファミリが含まれます。これらのマルウェア ファミリは、ASEAN 加盟国に対する複数のキャンペーンで確認された被害者プロファイル、ツールセット、および実行パターンの共有により、以前の攻撃に関連していました。研究者らは、REF5961の運営者が中国と連携しているのではないかと強く疑っている。

REF5961 内のマルウェア サンプルは、モンゴル外務省を含む ASEAN 加盟国に対する攻撃に使用されたと考えられる以前の侵入セット REF2924 でも特定されています。