BLODALKEMI Bakdør utplassert mot asiatiske land

Sikkerhetseksperter har oppdaget et skjult inngangspunkt ansatt i overgrep mot regjeringer og institusjoner innenfor Association of Southeast Asian Nations (ASEAN).

Denne bakdøren, kalt "BLOODALCHEMY" av forskere fra Elastic Security Labs, er spesifikt rettet mot x86-systemer og er knyttet til REF5961-inntrengningssettet, som nylig har blitt adoptert av en gruppe med forbindelser til Kina.

Et inntrengningssett er et begrep som kategoriserer etablerte strategier, metoder og verktøy knyttet til et angrep og kampanjene der disse angrepene er utplassert. Vanligvis brukes disse inntrengingssettene av en enkelt uidentifisert angriper, og verktøysettet til REF5961 har blitt sett i et eget spionasjefokusert angrep på den mongolske regjeringen.

BLOODALCHEMY er den nye bakdøren som brukes av operatørene av REF5961. Ikke desto mindre, til tross for troen på at dyktige skadevareutviklere har jobbet med dette programmet, regnes det fortsatt som et arbeid som pågår.

Selv om den fungerer som en stamme av skadelig programvare, og er en del av de tre nylig oppdagede skadevarefamiliene i REF5961, er dens kapasitet fortsatt ganske begrenset.

Elastic uttalte i et blogginnlegg at selv om det ikke er helt sikkert, kan skadelig programvare være en del av et større verktøysett som fortsatt er under utvikling.

Forskere har bare vært i stand til å identifisere noen få virkningsfulle kommandoer, for eksempel muligheten til å skrive eller overskrive skadevareverktøysettet, starte skadevareprogrammet, avinstallere og avslutte det og samle inn vertsinformasjon.

Avinstalleringskommandoen avslører de ulike metodene BLOODALCHEMY bruker for å opprettholde en tilstedeværelse på det målrettede systemet. Bakdøren dupliserer seg selv inn i persistensmappen sin ved å lage en ny katalog kalt "Test", der det ligger "test.exe" - malware-binæren. Valget av persistensmappen avhenger av rettighetsnivået som er gitt til BLOODALCHEMY og kan være en av fire mulige mapper: ProgramFiles, ProgramFiles(x86), Appdata eller LocalAppData\Programs.

Videre har BLOODALCHEMY demonstrert sin evne til å etablere utholdenhet på forskjellige måter. Bemerkelsesverdige funksjoner inkluderer en "klassisk" metode for å skjule data gjennom strengkryptering sammen med ytterligere tilsløringsteknikker, så vel som flere driftsmoduser.

Avhengig av konfigurasjonen av skadevaren, kan den fungere innenfor primærtråden eller en separat, fungere som en tjeneste eller introdusere shellcode etter å ha startet en Windows-prosess.

BLODALKEMI Del av REF5961 Intrusion Set

BLOODALCHEMY er en del av REF5961-inntrengningssettet, som omfatter tre nye malware-familier som brukes i pågående angrep. Disse skadevarefamiliene har blitt assosiert med tidligere angrep på grunn av delte offerprofiler, verktøysett og henrettelsesmønstre som er notert i flere kampanjer mot ASEAN-medlemmer. Forskere mistenker sterkt at operatørene av REF5961 er på linje med Kina.

Malwareprøver innenfor REF5961 er også identifisert i et tidligere inntrengningssett, REF2924, som antas å ha blitt brukt i angrep mot ASEAN-medlemmer, inkludert det mongolske utenriksdepartementet.