Бэкдор BLOODALCHEMY развернут против азиатских стран
Эксперты по безопасности обнаружили скрытую точку входа, используемую для нападений на правительства и учреждения Ассоциации государств Юго-Восточной Азии (АСЕАН).
Этот бэкдор, названный исследователями из Elastic Security Labs «BLOODALCHEMY», специально нацелен на системы x86 и связан с набором вторжений REF5961, который недавно был принят на вооружение группой, связанной с Китаем.
Набор вторжений — это термин, который классифицирует устоявшиеся стратегии, методы и инструменты, связанные с атакой и кампаниями, в которых эти атаки развертываются. Обычно эти наборы средств взлома используются одним неопознанным злоумышленником, а набор инструментов REF5961 был засвидетельствован в отдельной шпионской атаке на правительство Монголии.
BLOODALCHEMY — это новый бэкдор, используемый операторами REF5961. Тем не менее, несмотря на мнение, что над этой программой работали опытные разработчики вредоносного ПО, она все еще находится в стадии разработки.
Хотя он функционирует как разновидность вредоносного ПО и входит в три недавно обнаруженных семейства вредоносных программ в составе REF5961, его возможности все еще весьма ограничены.
Elastic заявил в своем блоге, что, хотя это и не совсем точно, вредоносное ПО может быть частью более крупного набора инструментов, который все еще находится в разработке.
Исследователям удалось идентифицировать лишь несколько эффективных команд, таких как возможность записать или перезаписать набор инструментов вредоносного ПО, запустить вредоносную программу, удалить и завершить ее, а также собрать информацию о хосте.
Команда удаления раскрывает различные методы, которые BLOODALCHEMY использует для поддержания присутствия в целевой системе. Бэкдор дублирует себя в свою постоянную папку, создавая новый каталог под названием «Test», в котором находится «test.exe» — двоичный файл вредоносной программы. Выбор папки сохранения зависит от уровня привилегий, предоставленных BLOODALCHEMY, и может быть одной из четырех возможных папок: ProgramFiles, ProgramFiles(x86), Appdata или LocalAppData\Programs.
Более того, BLOODALCHEMY продемонстрировала свою способность сохранять стойкость различными способами. Примечательные возможности включают «классический» метод сокрытия данных посредством шифрования строк, а также дополнительные методы запутывания, а также несколько режимов работы.
В зависимости от конфигурации вредоносной программы она может функционировать в основном потоке или в отдельном потоке, работать как служба или внедрять шеллкод после запуска процесса Windows.
BLOODALCHEMY Часть охранного набора REF5961
BLOODALCHEMY является частью набора вторжений REF5961, который включает в себя три новых семейства вредоносных программ, используемых в текущих атаках. Эти семейства вредоносных программ были связаны с более ранними атаками из-за общих профилей жертв, наборов инструментов и моделей выполнения, отмеченных в многочисленных кампаниях против членов АСЕАН. Исследователи сильно подозревают, что операторы REF5961 связаны с Китаем.
Образцы вредоносного ПО внутри REF5961 также были обнаружены в предыдущем наборе атак REF2924, который, как предполагается, использовался в атаках на членов АСЕАН, включая Министерство иностранных дел Монголии.