BLOODALCHEMY バックドア
サイバーセキュリティの専門家は最近、東南アジア諸国連合 (ASEAN) に属する政府機関や組織に対するサイバー攻撃に使用された秘密のアクセス ポイントを発見しました。これらの専門家によって「BLOODALCHEMY」と呼ばれるこの秘密の侵入経路は、特に x86 システムをターゲットにしており、REF5961 侵入戦略の一部であり、最近、中国と明らかに関係があるグループによって採用されています。
侵入戦略とは、攻撃に関連する既知の戦術、手法、ツールの統合と、これらの攻撃が関与する広範なキャンペーンを指します。通常、これらの侵入戦略は正体不明の単独攻撃者によって使用されます。特に、REF5961に関連するツールセットは、モンゴル政府に対する明確なスパイ活動に焦点を当てた攻撃でも観察されました。
目次
BLOODALCHEMY バックドアはまだ活発に開発中です
BLOODALCHEMY は、REF5961 の背後にいるオペレーターによって使用されている新しいバックドアです。熟練したマルウェア開発者が作成に参加しているにもかかわらず、まだ完全には成熟していないプロジェクトのようです。
これは機能的なマルウェア株として機能し、REF5961 の操作から分析された最近明らかになった 3 つのマルウェア ファミリの 1 つを構成していますが、その機能は依然としてある程度制限されています。
未検証ではありますが、有効なコマンドの数が限られているということは、このマルウェアが、開発中の大規模な侵入戦略またはマルウェア スイートのコンポーネントである可能性、あるいは、攻撃目的のために設計された非常に特殊なマルウェアである可能性を示唆しています。特定の戦術的目的。
BLOODALCHEMY バックドアで複数の永続化メカニズムが判明
研究者らは、BLOODALCHEMY マルウェア内の重要なコマンドの限られたセットを特定しました。これらのコマンドにより、マルウェア ツールセットの変更、マルウェア プログラムの実行、アンインストールと終了、ホスト情報の収集などのさまざまな機能が有効になりました。
アンインストール コマンドは、対象システム上で永続性を維持するために BLOODALCHEMY が採用した数多くの手法を明らかにしたため、特に明らかでした。このバックドアは、通常「Test」という名前の指定されたフォルダーに自分自身を複製することで永続性を確立します。このフォルダー内には、「test.exe」というラベルの付いたマルウェア バイナリが存在します。永続フォルダーの選択は、BLOODALCHEMY に付与された権限のレベルによって異なり、ProgramFiles、ProgramFiles(x86)、Appdata、または LocalAppData\Programs の 4 つの可能性のいずれかになります。
さらに、BLOODALCHEMY はその持続メカニズムにおいて多用途性を示しました。注目すべき機能には、文字列暗号化と追加の難読化技術による従来のデータ マスキングの実装が含まれます。このマルウェアは、その構成に基づいてさまざまなモードで動作し、メイン スレッドまたは別個のスレッド内で実行したり、サービスとして機能したり、Windows プロセスの開始後にシェルコードを挿入したりします。
BLOODALCHEMY バックドアは大規模なマルウェア ツールセットの一部です
BLOODALCHEMY は REF5961 侵入セットの一部であり、これ自体には進行中の攻撃で使用されている 3 つの新しいマルウェア ファミリが含まれています。これらのマルウェア ファミリはその後、以前の攻撃に関連付けられています。
REF5961 のマルウェア サンプルは、モンゴル外務省を含む ASEAN 加盟国への攻撃に使用されたと考えられる以前の侵入セット REF2924 でも発見されています。 REF5961 の 3 つの新しいマルウェア ファミリは、EAGERBEE、RUDEBIRD、および DOWNTOWN と呼ばれています。
ASEAN 加盟国に対する複数のキャンペーンで観察された共通の被害者学、ツール、実行の流れから、研究者らは REF5961 の運営者が中国と連携していると考えています。
