BLOODALCHEMY Backdoor implantado em países asiáticos

Especialistas em segurança detectaram um ponto de entrada secreto utilizado em ataques contra governos e instituições dentro da Associação das Nações do Sudeste Asiático (ASEAN).

Denominado “BLOODALCHEMY” por pesquisadores do Elastic Security Labs, esse backdoor visa especificamente sistemas x86 e está vinculado ao conjunto de intrusão REF5961, que foi recentemente adotado por um grupo com conexões com a China.

Um conjunto de intrusão é um termo que categoriza estratégias, métodos e ferramentas estabelecidas associadas a um ataque e as campanhas nas quais esses ataques são implantados. Normalmente, esses conjuntos de intrusão são usados por um único invasor não identificado, e o conjunto de ferramentas REF5961 foi testemunhado em um ataque separado com foco em espionagem ao governo mongol.

BLOODALCHEMY é o novo backdoor usado pelos operadores do REF5961. No entanto, apesar da crença de que desenvolvedores de malware qualificados trabalharam neste programa, ele ainda é considerado um trabalho em andamento.

Embora funcione como uma variedade de malware e faça parte das três famílias de malware recentemente descobertas no REF5961, seus recursos ainda são bastante limitados.

A Elastic afirmou em uma postagem no blog que, embora não seja totalmente certo, o malware pode fazer parte de um kit de ferramentas maior ainda em desenvolvimento.

Os pesquisadores só conseguiram identificar alguns comandos impactantes, como a capacidade de escrever ou substituir o kit de ferramentas de malware, iniciar o programa de malware, desinstalá-lo e encerrá-lo e coletar informações do host.

O comando de desinstalação revela os vários métodos que o BLOODALCHEMY emprega para manter uma presença no sistema de destino. O backdoor se duplica em sua pasta de persistência criando um novo diretório chamado “Test”, no qual reside “test.exe” – o binário do malware. A escolha da pasta de persistência depende do nível de privilégios concedidos ao BLOODALCHEMY e pode ser uma das quatro pastas possíveis: ProgramFiles, ProgramFiles(x86), Appdata ou LocalAppData\Programs.

Além disso, BLOODALCHEMY demonstrou a sua capacidade de estabelecer persistência através de vários meios. Recursos notáveis incluem um método “clássico” para ocultar dados por meio de criptografia de string, juntamente com técnicas adicionais de ofuscação, bem como vários modos operacionais.

Dependendo da configuração do malware, ele pode funcionar no thread principal ou em um thread separado, operar como um serviço ou introduzir shellcode após iniciar um processo do Windows.

BLOODALCHEMY Parte do conjunto de intrusão REF5961

O BLOODALCHEMY faz parte do conjunto de intrusões REF5961, que abrange três novas famílias de malware usadas em ataques contínuos. Essas famílias de malware foram associadas a ataques anteriores devido ao compartilhamento de perfis de vítimas, conjuntos de ferramentas e padrões de execução observados em diversas campanhas contra membros da ASEAN. Os investigadores suspeitam fortemente que os operadores do REF5961 estejam alinhados com a China.

Amostras de malware no REF5961 também foram identificadas em um conjunto de intrusão anterior, REF2924, que se acredita ter sido empregado em ataques contra membros da ASEAN, incluindo o Ministério das Relações Exteriores da Mongólia.