针对亚洲国家部署 BLOODALCHEMY 后门

安全专家发现了一个用于攻击东南亚国家联盟 (ASEAN) 内政府和机构的秘密入口点。

Elastic Security Labs 的研究人员将这个后门称为“BLOODALCHEMY”，专门针对 x86 系统，并与 REF5961 入侵集相关联，该入侵集最近被一个与中国有联系的组织采用。

入侵集是一个术语，它对与攻击以及部署这些攻击的活动相关的既定策略、方法和工具进行分类。通常，这些入侵集由单个身份不明的攻击者使用，并且 REF5961 工具集已在针对蒙古政府的单独的间谍活动攻击中被目击。

BLOODALCHEMY 是 REF5961 操作者使用的新型后门。尽管如此，尽管人们相信熟练的恶意软件开发人员已经开发了该程序，但它仍然被认为是一项正在进行的工作。

尽管它是一种恶意软件，并且是 REF5961 中最近发现的三个恶意软件家族的一部分，但其功能仍然相当有限。

Elastic 在一篇博客文章中表示，虽然还不能完全确定，但该恶意软件可能是仍在开发中的更大工具包的一部分。

研究人员只能识别一些有影响力的命令，例如编写或覆盖恶意软件工具包、启动恶意软件程序、卸载和终止它以及收集主机信息的能力。

卸载命令揭示了 BLOODALCHEMY 用于维持目标系统上存在的各种方法。后门通过创建一个名为“Test”的新目录将自身复制到其持久性文件夹中，其中驻留着“test.exe”（恶意软件二进制文件）。持久性文件夹的选择取决于授予 BLOODALCHEMY 的权限级别，并且可以是四个可能的文件夹之一：ProgramFiles、ProgramFiles(x86)、Appdata 或 LocalAppData\Programs。

此外，BLOODALCHEMY 还通过各种方式展示了其建立持久性的能力。值得注意的功能包括通过字符串加密隐藏数据的“经典”方法以及其他混淆技术以及多种操作模式。

根据恶意软件的配置，它可以在主线程或单独的线程中运行，作为服务运行，或者在启动 Windows 进程后引入 shellcode。