Бэкдор BLOODALCHEMY развернут против азиатских стран

Эксперты по безопасности обнаружили скрытую точку входа, используемую для нападений на правительства и учреждения Ассоциации государств Юго-Восточной Азии (АСЕАН).

Этот бэкдор, названный исследователями из Elastic Security Labs «BLOODALCHEMY», специально нацелен на системы x86 и связан с набором вторжений REF5961, который недавно был принят на вооружение группой, связанной с Китаем.

Набор вторжений — это термин, который классифицирует устоявшиеся стратегии, методы и инструменты, связанные с атакой и кампаниями, в которых эти атаки развертываются. Обычно эти наборы средств взлома используются одним неопознанным злоумышленником, а набор инструментов REF5961 был засвидетельствован в отдельной шпионской атаке на правительство Монголии.

BLOODALCHEMY — это новый бэкдор, используемый операторами REF5961. Тем не менее, несмотря на мнение, что над этой программой работали опытные разработчики вредоносного ПО, она все еще находится в стадии разработки.

Хотя он функционирует как разновидность вредоносного ПО и входит в три недавно обнаруженных семейства вредоносных программ в составе REF5961, его возможности все еще весьма ограничены.

Elastic заявил в своем блоге, что, хотя это и не совсем точно, вредоносное ПО может быть частью более крупного набора инструментов, который все еще находится в разработке.

Исследователям удалось идентифицировать лишь несколько эффективных команд, таких как возможность записать или перезаписать набор инструментов вредоносного ПО, запустить вредоносную программу, удалить и завершить ее, а также собрать информацию о хосте.

Команда удаления раскрывает различные методы, которые BLOODALCHEMY использует для поддержания присутствия в целевой системе. Бэкдор дублирует себя в свою постоянную папку, создавая новый каталог под названием «Test», в котором находится «test.exe» — двоичный файл вредоносной программы. Выбор папки сохранения зависит от уровня привилегий, предоставленных BLOODALCHEMY, и может быть одной из четырех возможных папок: ProgramFiles, ProgramFiles(x86), Appdata или LocalAppData\Programs.

Более того, BLOODALCHEMY продемонстрировала свою способность сохранять стойкость различными способами. Примечательные возможности включают «классический» метод сокрытия данных посредством шифрования строк, а также дополнительные методы запутывания, а также несколько режимов работы.

В зависимости от конфигурации вредоносной программы она может функционировать в основном потоке или в отдельном потоке, работать как служба или внедрять шеллкод после запуска процесса Windows.

BLOODALCHEMY Часть охранного набора REF5961

BLOODALCHEMY является частью набора вторжений REF5961, который включает в себя три новых семейства вредоносных программ, используемых в текущих атаках. Эти семейства вредоносных программ были связаны с более ранними атаками из-за общих профилей жертв, наборов инструментов и моделей выполнения, отмеченных в многочисленных кампаниях против членов АСЕАН. Исследователи сильно подозревают, что операторы REF5961 связаны с Китаем.

Образцы вредоносного ПО внутри REF5961 также были обнаружены в предыдущем наборе атак REF2924, который, как предполагается, использовался в атаках на членов АСЕАН, включая Министерство иностранных дел Монголии.