BLOODALCHEMY Backdoor dislokuotas prieš Azijos šalis

Saugumo ekspertai aptiko slaptą įėjimo tašką, naudojamą išpuoliuose prieš vyriausybes ir Pietryčių Azijos valstybių asociacijos (ASEAN) institucijas.

Tyrėjų iš Elastic Security Labs pavadino „BLOODALCHEMY“, šios užpakalinės durys yra specialiai skirtos x86 sistemoms ir yra susietos su REF5961 įsilaužimo rinkiniu, kurį neseniai priėmė grupė, turinti ryšius su Kinija.

Įsibrovimų rinkinys yra terminas, suskirstantis nustatytas strategijas, metodus ir įrankius, susijusius su ataka ir kampanijomis, kuriose šios atakos naudojamos. Paprastai šiuos įsibrovimų rinkinius naudoja vienas neatpažintas užpuolikas, o REF5961 įrankių rinkinys buvo liudija atskirą šnipinėjimo ataką prieš Mongolijos vyriausybę.

BLOODALCHEMY yra naujos užpakalinės durys, kurias naudoja REF5961 operatoriai. Nepaisant to, nepaisant įsitikinimo, kad kvalifikuoti kenkėjiškų programų kūrėjai dirbo su šia programa, ji vis dar laikoma nebaigta.

Nors ji veikia kaip kenkėjiškų programų atmaina ir yra trijų neseniai atrastų kenkėjiškų programų šeimų dalis REF5961, jos galimybės vis dar gana ribotos.

Tinklaraščio įraše Elastic teigė, kad, nors tai nėra visiškai tikras, kenkėjiška programa gali būti didesnio vis dar kuriamo įrankių rinkinio dalis.

Tyrėjai sugebėjo nustatyti tik kelias veiksmingas komandas, pvz., galimybę įrašyti arba perrašyti kenkėjiškų programų įrankių rinkinį, paleisti kenkėjiškų programų programą, ją pašalinti ir nutraukti bei rinkti informaciją apie pagrindinį kompiuterį.

Pašalinimo komanda atskleidžia įvairius metodus, kuriuos taiko BLOODALCHEMY, kad išlaikytų buvimą tikslinėje sistemoje. Užpakalinės durys dubliuojasi į savo patvarumo aplanką, sukurdamos naują katalogą pavadinimu „Test“, kuriame yra „test.exe“ – dvejetainis kenkėjiškų programų failas. Patvarumo aplanko pasirinkimas priklauso nuo BLOODALCHEMY suteiktų privilegijų lygio ir gali būti vienas iš keturių galimų aplankų: ProgramFiles, ProgramFiles(x86), Appdata arba LocalAppData\Programs.

Be to, BLOODALCHEMY įrodė savo gebėjimą įvairiomis priemonėmis užtikrinti atkaklumą. Įžymios galimybės apima „klasikinį“ duomenų slėpimo metodą naudojant eilučių šifravimą kartu su papildomais užmaskavimo būdais, taip pat keliais veikimo režimais.

Priklausomai nuo kenkėjiškos programos konfigūracijos, ji gali veikti pirminėje arba atskiroje gijoje, veikti kaip paslauga arba įvesti apvalkalo kodą po to, kai pradedamas „Windows“ procesas.

BLOODALCHEMY REF5961 įsibrovimo rinkinio dalis

BLOODALCHEMY yra REF5961 įsibrovimo rinkinio dalis, apimanti tris naujas kenkėjiškų programų šeimas, naudojamas vykstančiose atakose. Šios kenkėjiškų programų šeimos buvo susijusios su ankstesnėmis atakomis dėl bendrų aukų profilių, įrankių rinkinių ir vykdymo modelių, pastebėtų keliose kampanijose prieš ASEAN narius. Tyrėjai tvirtai įtaria, kad REF5961 operatoriai yra suderinti su Kinija.

Kenkėjiškų programų pavyzdžiai, esantys REF5961, taip pat buvo nustatyti ankstesniame įsibrovimų rinkinyje REF2924, kuris, kaip manoma, buvo panaudotas atakoms prieš ASEAN nares, įskaitant Mongolijos užsienio reikalų ministeriją.