針對亞洲國家部署 BLOODALCHEMY 後門

安全專家發現了一個用於攻擊東南亞國家聯盟 (ASEAN) 內政府和機構的秘密入口點。

Elastic Security Labs 的研究人員將這個後門稱為“BLOODALCHEMY”，專門針對 x86 系統，並與 REF5961 入侵集相關聯，該入侵集最近被一個與中國有聯繫的組織採用。

入侵集是一個術語，它對與攻擊以及部署這些攻擊的活動相關的既定策略、方法和工具進行分類。通常，這些入侵集由單一身份不明的攻擊者使用，而 REF5961 工具集已在針對蒙古政府的單獨的間諜活動攻擊中被目擊。

BLOODALCHEMY 是 REF5961 操作者使用的新型後門。儘管如此，儘管人們相信熟練的惡意軟體開發人員已經開發了該程序，但它仍然被認為是一項正在進行的工作。

儘管它是一種惡意軟體，並且是 REF5961 中最近發現的三個惡意軟體家族的一部分，但其功能仍然相當有限。

Elastic 在一篇部落格文章中表示，雖然還不能完全確定，但該惡意軟體可能是仍在開發中的更大工具包的一部分。

研究人員只能識別一些有影響力的命令，例如編寫或覆蓋惡意軟體工具包、啟動惡意軟體程式、卸載和終止它以及收集主機資訊的能力。

卸載命令揭示了 BLOODALCHEMY 用於維持目標系統上存在的各種方法。後門透過建立一個名為「Test」的新目錄將自身複製到其持久性資料夾中，其中駐留著「test.exe」（惡意軟體二進位）。持久性資料夾的選擇取決於授予 BLOODALCHEMY 的權限級別，並且可以是四個可能的資料夾之一：ProgramFiles、ProgramFiles(x86)、Appdata 或 LocalAppData\Programs。

此外，BLOODALCHEMY 也透過各種方式展現了其建立持久性的能力。值得注意的功能包括透過字串加密隱藏資料的「經典」方法以及其他混淆技術以及多種操作模式。

根據惡意軟體的配置，它可以在主執行緒或單獨的執行緒中運行，作為服務運行，或在啟動 Windows 進程後引入 shellcode。