针对亚洲国家部署 BLOODALCHEMY 后门
安全专家发现了一个用于攻击东南亚国家联盟 (ASEAN) 内政府和机构的秘密入口点。
Elastic Security Labs 的研究人员将这个后门称为“BLOODALCHEMY”,专门针对 x86 系统,并与 REF5961 入侵集相关联,该入侵集最近被一个与中国有联系的组织采用。
入侵集是一个术语,它对与攻击以及部署这些攻击的活动相关的既定策略、方法和工具进行分类。通常,这些入侵集由单个身份不明的攻击者使用,并且 REF5961 工具集已在针对蒙古政府的单独的间谍活动攻击中被目击。
BLOODALCHEMY 是 REF5961 操作者使用的新型后门。尽管如此,尽管人们相信熟练的恶意软件开发人员已经开发了该程序,但它仍然被认为是一项正在进行的工作。
尽管它是一种恶意软件,并且是 REF5961 中最近发现的三个恶意软件家族的一部分,但其功能仍然相当有限。
Elastic 在一篇博客文章中表示,虽然还不能完全确定,但该恶意软件可能是仍在开发中的更大工具包的一部分。
研究人员只能识别一些有影响力的命令,例如编写或覆盖恶意软件工具包、启动恶意软件程序、卸载和终止它以及收集主机信息的能力。
卸载命令揭示了 BLOODALCHEMY 用于维持目标系统上存在的各种方法。后门通过创建一个名为“Test”的新目录将自身复制到其持久性文件夹中,其中驻留着“test.exe”(恶意软件二进制文件)。持久性文件夹的选择取决于授予 BLOODALCHEMY 的权限级别,并且可以是四个可能的文件夹之一:ProgramFiles、ProgramFiles(x86)、Appdata 或 LocalAppData\Programs。
此外,BLOODALCHEMY 还通过各种方式展示了其建立持久性的能力。值得注意的功能包括通过字符串加密隐藏数据的“经典”方法以及其他混淆技术以及多种操作模式。
根据恶意软件的配置,它可以在主线程或单独的线程中运行,作为服务运行,或者在启动 Windows 进程后引入 shellcode。
BLOODALCHEMY REF5961 入侵套装的一部分
BLOODALCHEMY 是 REF5961 入侵集的一部分,该入侵集包含用于持续攻击的三个新恶意软件系列。这些恶意软件家族与早期的攻击有关,因为在针对东盟成员国的多个活动中发现了共享的受害者资料、工具集和执行模式。研究人员强烈怀疑 REF5961 的运营商与中国结盟。
REF5961 中的恶意软件样本也在之前的入侵集 REF2924 中被发现,该入侵集据信曾被用于针对包括蒙古外交部在内的东盟成员国的攻击。