BLODALKEMI Bakdörr utplacerad mot asiatiska länder
Säkerhetsexperter har upptäckt en hemlig ingångspunkt anställd i övergrepp mot regeringar och institutioner inom Association of Southeast Asian Nations (ASEAN).
Benämnt "BLOODALCHEMY" av forskare från Elastic Security Labs, denna bakdörr riktar sig specifikt till x86-system och är kopplad till REF5961 intrångssetet, som nyligen har antagits av en grupp med kopplingar till Kina.
En intrångsuppsättning är en term som kategoriserar etablerade strategier, metoder och verktyg förknippade med en attack och de kampanjer där dessa attacker används. Vanligtvis används dessa intrångsset av en enda oidentifierad angripare, och verktygsuppsättningen REF5961 har bevittnats i en separat spionagefokuserad attack mot den mongoliska regeringen.
BLOODALCHEMY är den nya bakdörren som används av operatörerna av REF5961. Trots tron på att skickliga utvecklare av skadlig programvara har arbetat med detta program anses det fortfarande vara ett pågående arbete.
Även om den fungerar som en skadlig stam och är en del av de tre nyligen upptäckta skadliga programfamiljerna inom REF5961, är dess möjligheter fortfarande ganska begränsade.
Elastic uppgav i ett blogginlägg att även om det inte är helt säkert, kan skadlig programvara vara en del av en större verktygslåda som fortfarande är under utveckling.
Forskare har bara kunnat identifiera ett fåtal effektfulla kommandon, såsom förmågan att skriva eller skriva över verktygslådan för skadlig programvara, starta skadlig programvara, avinstallera och avsluta den och samla in värdinformation.
Avinstallationskommandot avslöjar de olika metoderna som BLOODALCHEMY använder för att upprätthålla en närvaro på det riktade systemet. Bakdörren duplicerar sig själv till sin persistensmapp genom att skapa en ny katalog som heter "Test", i vilken finns "test.exe" - skadlig programvara binär. Valet av persistensmapp beror på nivån av privilegier som beviljats BLOODALCHEMY och kan vara en av fyra möjliga mappar: ProgramFiles, ProgramFiles(x86), Appdata eller LocalAppData\Programs.
Dessutom har BLODALKEMI visat sin förmåga att etablera persistens på olika sätt. Anmärkningsvärda funktioner inkluderar en "klassisk" metod för att dölja data genom strängkryptering tillsammans med ytterligare fördunklingstekniker, såväl som flera driftslägen.
Beroende på konfigurationen av skadlig programvara kan den fungera inom den primära tråden eller en separat, fungera som en tjänst eller introducera skalkod efter att ha initierat en Windows-process.
BLODALKEMI Del av REF5961 Intrusionsset
BLOODALCHEMY är en del av REF5961-intrångssetet, som omfattar tre nya skadliga programfamiljer som används i pågående attacker. Dessa skadliga programfamiljer har associerats med tidigare attacker på grund av delade offerprofiler, verktygsuppsättningar och avrättningsmönster som noterats i flera kampanjer mot ASEAN-medlemmar. Forskare misstänker starkt att operatörerna av REF5961 är i linje med Kina.
Skadlig programvara inom REF5961 har också identifierats i en tidigare intrångsuppsättning, REF2924, som tros ha använts i attacker mot ASEAN-medlemmar, inklusive det mongoliska utrikesministeriet.
