Backdoor BLOODALCHEMY zastosowany przeciwko krajom azjatyckim
Eksperci ds. bezpieczeństwa wykryli ukryty punkt wejścia wykorzystywany w atakach na rządy i instytucje w ramach Stowarzyszenia Narodów Azji Południowo-Wschodniej (ASEAN).
Backdoor ten, nazwany przez badaczy z Elastic Security Labs „BLOODALCHEMY”, atakuje w szczególności systemy x86 i jest powiązany z zestawem włamań REF5961, który został niedawno przyjęty przez grupę mającą połączenia z Chinami.
Zestaw włamań to termin kategoryzujący ustalone strategie, metody i narzędzia związane z atakiem oraz kampanie, w których te ataki są wdrażane. Zazwyczaj te zestawy włamań są używane przez jednego niezidentyfikowanego napastnika, a zestaw narzędzi REF5961 był świadkiem oddzielnego ataku ukierunkowanego na szpiegostwo na rząd mongolski.
BLOODALCHEMY to nowatorski backdoor używany przez operatorów REF5961. Niemniej jednak, pomimo przekonania, że nad tym programem pracowali wykwalifikowani twórcy szkodliwego oprogramowania, nadal uważa się, że prace nad nim są w toku.
Chociaż działa jako odmiana złośliwego oprogramowania i należy do trzech niedawno odkrytych rodzin szkodliwego oprogramowania w ramach REF5961, jego możliwości są nadal dość ograniczone.
Elastic stwierdził w poście na blogu, że chociaż nie jest to całkowicie pewne, złośliwe oprogramowanie może być częścią większego zestawu narzędzi, który jest wciąż w fazie rozwoju.
Badaczom udało się zidentyfikować jedynie kilka skutecznych poleceń, takich jak możliwość zapisania lub nadpisania zestawu narzędzi złośliwego oprogramowania, uruchomienia szkodliwego programu, odinstalowania go i zakończenia oraz zbierania informacji o hoście.
Polecenie dezinstalacji ujawnia różne metody stosowane przez BLOODALCHEMY w celu utrzymania obecności w docelowym systemie. Backdoor kopiuje się do swojego folderu trwałości, tworząc nowy katalog o nazwie „Test”, w którym znajduje się „test.exe” – plik binarny złośliwego oprogramowania. Wybór folderu trwałości zależy od poziomu uprawnień przyznanych BLOODALCHEMY i może być jednym z czterech możliwych folderów: ProgramFiles, ProgramFiles(x86), Appdata lub LocalAppData\Programs.
Co więcej, projekt BLOODALCHEMY wykazał zdolność do ustalania trwałości za pomocą różnych środków. Godne uwagi możliwości obejmują „klasyczną” metodę ukrywania danych poprzez szyfrowanie ciągów znaków wraz z dodatkowymi technikami zaciemniania, a także wieloma trybami operacyjnymi.
W zależności od konfiguracji szkodliwe oprogramowanie może funkcjonować w ramach wątku podstawowego lub osobnego, działać jako usługa lub wprowadzać kod powłoki po zainicjowaniu procesu Windows.
BLOODALCHEMY Część zestawu włamaniowego REF5961
BLOODALCHEMY jest częścią zestawu włamań REF5961, który obejmuje trzy nowe rodziny szkodliwego oprogramowania wykorzystywane w trwających atakach. Te rodziny szkodliwego oprogramowania powiązano z wcześniejszymi atakami ze względu na wspólne profile ofiar, zestawy narzędzi i wzorce wykonania odnotowane w wielu kampaniach przeciwko członkom ASEAN. Naukowcy mocno podejrzewają, że operatorzy REF5961 są powiązani z Chinami.
Próbki złośliwego oprogramowania w ramach REF5961 zostały również zidentyfikowane w poprzednim zestawie włamań REF2924, który prawdopodobnie został wykorzystany w atakach na członków ASEAN, w tym na mongolskie Ministerstwo Spraw Zagranicznych.
