BLOODALCHEMY Hintertür
Cybersicherheitsexperten haben kürzlich einen verdeckten Zugangspunkt entdeckt, der bei Cyberangriffen gegen Regierungsstellen und Organisationen der Vereinigung Südostasiatischer Nationen (ASEAN) eingesetzt wird. Von diesen Experten als „BLOODALCHEMY“ bezeichnet, zielt dieser geheime Zugang speziell auf x86-Systeme ab und ist Teil der REF5961-Einbruchsstrategie, die kürzlich von einer Gruppe mit offensichtlichen Verbindungen nach China übernommen wurde.
Eine Einbruchsstrategie bezieht sich auf die Zusammenführung anerkannter Taktiken, Methoden und Tools im Zusammenhang mit einem Angriff sowie auf die umfassenderen Kampagnen, zu denen diese Angriffe beitragen. Typischerweise werden diese Einbruchsstrategien von einem unbekannten Einzelangreifer eingesetzt. Bemerkenswert ist, dass das mit REF5961 in Zusammenhang stehende Toolset auch bei einem eindeutig auf Spionage ausgerichteten Angriff gegen die Regierung der Mongolei beobachtet wurde.
Inhaltsverzeichnis
Die BLOODALCHEMY-Hintertür befindet sich noch in der aktiven Entwicklung
BLOODALCHEMY ist die neue Hintertür, die von den Betreibern hinter REF5961 eingesetzt wird. Trotz der Beteiligung erfahrener Malware-Entwickler an seiner Entwicklung scheint es sich um ein Projekt zu handeln, das noch nicht vollständig ausgereift ist.
Obwohl es sich um einen funktionalen Malware-Stamm handelt und eine der drei kürzlich enthüllten Malware-Familien darstellt, die aus den REF5961-Operationen herausgelöst wurden, bleiben seine Fähigkeiten etwas eingeschränkt.
Obwohl nicht bestätigt, deutet die Existenz einer begrenzten Anzahl effektiver Befehle auf die Möglichkeit hin, dass diese Malware Teil einer größeren Einbruchsstrategie oder Malware-Suite sein könnte, die sich noch in der Entwicklung befindet, oder dass es sich um eine äußerst spezielle Malware handelt, die für einen bestimmten Zweck entwickelt wurde spezifischer taktischer Zweck.
Mehrere Persistenzmechanismen in der BLOODALCHEMY-Hintertür aufgedeckt
Die Forscher identifizierten einen begrenzten Satz kritischer Befehle in der BLOODALCHEMY-Malware. Diese Befehle ermöglichten verschiedene Funktionen wie das Ändern des Malware-Toolsets, das Ausführen des Malware-Programms, dessen Deinstallation und Beendigung sowie das Sammeln von Host-Informationen.
Der Deinstallationsbefehl erwies sich als besonders aufschlussreich, da er die zahlreichen Techniken enthüllte, die BLOODALCHEMY einsetzte, um die Persistenz auf dem Zielsystem aufrechtzuerhalten. Diese Hintertür stellt ihre Persistenz her, indem sie sich in einen bestimmten Ordner dupliziert, der normalerweise „Test“ heißt. In diesem Ordner befindet sich die Malware-Binärdatei mit der Bezeichnung „test.exe“. Die Wahl des Persistenzordners hängt von der Ebene der BLOODALCHEMY gewährten Berechtigungen ab und kann eine von vier Möglichkeiten sein: ProgramFiles, ProgramFiles(x86), Appdata oder LocalAppData\Programs.
Darüber hinaus zeigte BLOODALCHEMY Vielseitigkeit in seinen Persistenzmechanismen. Zu den bemerkenswerten Funktionen gehörten die Implementierung der klassischen Datenmaskierung durch String-Verschlüsselung und zusätzliche Verschleierungstechniken. Die Malware arbeitet je nach Konfiguration auch in verschiedenen Modi: Sie läuft im Hauptthread oder einem separaten Thread, fungiert als Dienst oder fügt nach dem Starten eines Windows-Prozesses einen Shellcode ein.
Die BLOODALCHEMY-Backdoor ist Teil eines größeren Malware-Toolsets
BLOODALCHEMY ist Teil des REF5961-Intrusion-Sets, das selbst drei neue Malware-Familien enthält, die bei laufenden Angriffen eingesetzt werden. Diese Malware-Familien wurden inzwischen mit früheren Angriffen in Verbindung gebracht.
Malware-Beispiele in REF5961 wurden auch in einem früheren Intrusion-Set, REF2924, gefunden, das vermutlich bei Angriffen auf ASEAN-Mitglieder, einschließlich des mongolischen Außenministeriums, verwendet wird. Die drei neuen Malware-Familien von REF5961 heißen EAGERBEE, RUDEBIRD und DOWNTOWN.
Gemeinsame Viktimisierungs-, Werkzeug- und Hinrichtungsabläufe, die in mehreren Kampagnen gegen ASEAN-Mitglieder beobachtet wurden, haben Forscher zu der Annahme veranlasst, dass die Betreiber von REF5961 mit China verbündet sind.
