針對亞洲國家部署 BLOODALCHEMY 後門
安全專家發現了一個用於攻擊東南亞國家聯盟 (ASEAN) 內政府和機構的秘密入口點。
Elastic Security Labs 的研究人員將這個後門稱為“BLOODALCHEMY”,專門針對 x86 系統,並與 REF5961 入侵集相關聯,該入侵集最近被一個與中國有聯繫的組織採用。
入侵集是一個術語,它對與攻擊以及部署這些攻擊的活動相關的既定策略、方法和工具進行分類。通常,這些入侵集由單一身份不明的攻擊者使用,而 REF5961 工具集已在針對蒙古政府的單獨的間諜活動攻擊中被目擊。
BLOODALCHEMY 是 REF5961 操作者使用的新型後門。儘管如此,儘管人們相信熟練的惡意軟體開發人員已經開發了該程序,但它仍然被認為是一項正在進行的工作。
儘管它是一種惡意軟體,並且是 REF5961 中最近發現的三個惡意軟體家族的一部分,但其功能仍然相當有限。
Elastic 在一篇部落格文章中表示,雖然還不能完全確定,但該惡意軟體可能是仍在開發中的更大工具包的一部分。
研究人員只能識別一些有影響力的命令,例如編寫或覆蓋惡意軟體工具包、啟動惡意軟體程式、卸載和終止它以及收集主機資訊的能力。
卸載命令揭示了 BLOODALCHEMY 用於維持目標系統上存在的各種方法。後門透過建立一個名為「Test」的新目錄將自身複製到其持久性資料夾中,其中駐留著「test.exe」(惡意軟體二進位)。持久性資料夾的選擇取決於授予 BLOODALCHEMY 的權限級別,並且可以是四個可能的資料夾之一:ProgramFiles、ProgramFiles(x86)、Appdata 或 LocalAppData\Programs。
此外,BLOODALCHEMY 也透過各種方式展現了其建立持久性的能力。值得注意的功能包括透過字串加密隱藏資料的「經典」方法以及其他混淆技術以及多種操作模式。
根據惡意軟體的配置,它可以在主執行緒或單獨的執行緒中運行,作為服務運行,或在啟動 Windows 進程後引入 shellcode。
BLOODALCHEMY REF5961 入侵套裝的一部分
BLOODALCHEMY 是 REF5961 入侵集的一部分,該入侵集包含用於持續攻擊的三個新惡意軟體系列。這些惡意軟體家族與早期的攻擊有關,因為在針對東協成員國的多個活動中發現了共享的受害者資料、工具集和執行模式。研究人員強烈懷疑 REF5961 的業者與中國結盟。
REF5961 中的惡意軟體樣本也在先前的入侵集 REF2924 中被發現,該入侵集據信曾被用於針對包括蒙古外交部在內的東盟成員國的攻擊。