BLOEDALCHEMIE Achterdeur ingezet tegen Aziatische landen
Beveiligingsexperts hebben een geheime toegangspoort ontdekt die wordt gebruikt bij aanvallen op regeringen en instellingen binnen de Associatie van Zuidoost-Aziatische Naties (ASEAN).
Deze achterdeur, door onderzoekers van Elastic Security Labs "BLOODALCHEMY" genoemd, richt zich specifiek op x86-systemen en is gekoppeld aan de REF5961-inbraakset, die onlangs is overgenomen door een groep met verbindingen met China.
Een inbraakset is een term die gevestigde strategieën, methoden en hulpmiddelen categoriseert die verband houden met een aanval en de campagnes waarin deze aanvallen worden ingezet. Meestal worden deze inbraaksets gebruikt door één ongeïdentificeerde aanvaller, en de toolset van REF5961 is waargenomen in een afzonderlijke spionagegerichte aanval op de Mongoolse regering.
BLOODALCHEMY is de nieuwe achterdeur die wordt gebruikt door de operators van REF5961. Niettemin wordt het, ondanks de overtuiging dat ervaren malware-ontwikkelaars aan dit programma hebben gewerkt, nog steeds beschouwd als werk in uitvoering.
Hoewel het functioneert als een soort malware en deel uitmaakt van de drie recent ontdekte malwarefamilies binnen REF5961, zijn de mogelijkheden ervan nog steeds vrij beperkt.
Elastic verklaarde in een blogpost dat, hoewel het niet helemaal zeker is, de malware deel zou kunnen uitmaken van een grotere toolkit die nog in ontwikkeling is.
Onderzoekers hebben slechts een paar impactvolle opdrachten kunnen identificeren, zoals de mogelijkheid om de malwaretoolkit te schrijven of te overschrijven, het malwareprogramma te starten, het te verwijderen en te beëindigen, en hostinformatie te verzamelen.
De verwijderopdracht onthult de verschillende methoden die BLOODALCHEMY gebruikt om aanwezig te blijven op het beoogde systeem. De achterdeur dupliceert zichzelf in de persistentiemap door een nieuwe map te maken met de naam 'Test', waarin zich 'test.exe' bevindt - het binaire bestand van malware. De keuze van de persistentiemap hangt af van het niveau van de bevoegdheden die aan BLOODALCHEMY zijn verleend en kan een van de vier mogelijke mappen zijn: ProgramFiles, ProgramFiles(x86), Appdata of LocalAppData\Programs.
Bovendien heeft BLOODALCHEMY op verschillende manieren aangetoond dat het in staat is persistentie tot stand te brengen. Opvallende mogelijkheden zijn onder meer een "klassieke" methode voor het verbergen van gegevens door middel van string-encryptie, samen met aanvullende verduisteringstechnieken, evenals meerdere operationele modi.
Afhankelijk van de configuratie van de malware kan deze binnen de primaire thread of een afzonderlijke thread functioneren, als een service werken of shellcode introduceren na het starten van een Windows-proces.
BLOEDALCHEMY Onderdeel van REF5961 Inbraakset
BLOODALCHEMY maakt deel uit van de REF5961-inbraakset, die drie nieuwe malwarefamilies omvat die bij voortdurende aanvallen worden gebruikt. Deze malwarefamilies zijn in verband gebracht met eerdere aanvallen vanwege gedeelde slachtofferprofielen, toolsets en uitvoeringspatronen die zijn opgemerkt in meerdere campagnes tegen ASEAN-leden. Onderzoekers vermoeden sterk dat de exploitanten van REF5961 op één lijn liggen met China.
Malwaremonsters binnen REF5961 zijn ook geïdentificeerd in een eerdere inbraakset, REF2924, waarvan wordt aangenomen dat deze is gebruikt bij aanvallen op ASEAN-leden, waaronder het Mongoolse Ministerie van Buitenlandse Zaken.
