.
Pesquisadores de segurança descobriram um backdoor usado em ataques contra governos e organizações da Associação das Nações do Sudeste Asiático (ASEAN).
Apelidado de “BLOODALCHEMY” pelos pesquisadores do Elastic Security Labs, o backdoor tem como alvo sistemas x86 e faz parte do conjunto de intrusão REF5961 recentemente adotado por um grupo com ligações à China.
Um conjunto de intrusão é um termo que agrupa táticas, técnicas e ferramentas conhecidas associadas a um ataque e as campanhas para as quais esses ataques estão contribuindo. Normalmente, esses conjuntos de intrusão são adotados por um único invasor desconhecido, e as ferramentas do REF5961 foram observadas em um ataque separado com foco em espionagem ao governo mongol.
BLOODALCHEMY é o novo backdoor usado pelos operadores do REF5961, mas embora se acredite que desenvolvedores de malware qualificados tenham trabalhado no programa, ainda se acredita que seja um trabalho em andamento.
Embora seja uma variedade de malware funcional, parte das três novas famílias de malware descobertas através da análise do REF5961, seus recursos ainda são limitados.
“Embora não confirmado, a presença de tão poucos comandos eficazes indica que o malware pode ser um sub-recurso de um conjunto maior de invasões ou pacote de malware, ainda em desenvolvimento, ou um malware extremamente focado para um uso tático específico”, disse Elastic em um blog.
Os pesquisadores só conseguiram identificar alguns comandos impactantes, que incluíam a capacidade de escrever ou substituir o conjunto de ferramentas do malware, iniciar o binário do malware, desinstalar e encerrar e coletar informações do host.
Seu comando de desinstalação foi usado para descobrir as diversas maneiras pelas quais o BLOODALCHEMY consegue persistência na máquina de destino.
O backdoor se copia para sua pasta de persistência adicionando uma nova pasta chamada “Test” e dentro dela está “test.exe” – o binário do malware. Os pesquisadores disseram que a pasta de persistência escolhida depende do nível de privilégios concedidos ao BLOODALCHEMY, mas pode ser uma das quatro pastas possíveis:
- Arquivos de Programas
- Arquivos de programas (x86)
- Dados do aplicativo
- LocalAppDataProgramas
Também demonstrou sua capacidade de alcançar persistência por diferentes meios. Outros recursos notáveis incluem uma abordagem “clássica” para mascarar dados que envolve criptografia de string junto com técnicas adicionais de ofuscação, bem como vários modos de execução.
Dependendo da configuração do malware, ele pode funcionar no thread principal ou em um thread separado, executar-se como um serviço ou injetar shellcode após iniciar um processo do Windows.
Parte de uma caixa de ferramentas mais ampla
O BLOODALCHEMY faz parte do conjunto de intrusões REF5961, que contém três novas famílias de malware usadas em ataques contínuos. Desde então, essas famílias de malware foram associadas a ataques anteriores.
Vitimologia comum, ferramentas e fluxos de execução observados em múltiplas campanhas contra membros da ASEAN levaram os investigadores a acreditar que os operadores do REF5961 estão alinhados com a China.
Amostras de malware no REF5961 também foram encontradas em um conjunto de intrusão anterior, REF2924, que se acredita ter sido usado em ataques a membros da ASEAN, incluindo o Ministério das Relações Exteriores da Mongólia.
O Elastic Security Labs acredita que os operadores de ambos os conjuntos de intrusão são patrocinados pelo Estado e motivados por espionagem. Os esforços da China em campanhas cibernéticas patrocinadas pelo Estado historicamente focado fortemente na espionageme os EUA consideram a China a “ameaça de espionagem cibernética mais ampla, ativa e persistente” para o país.
“A vontade de Pequim de usar a espionagem, os subsídios e a política comercial para tentar dar às suas empresas uma vantagem competitiva representa não apenas um desafio contínuo para a economia dos EUA e os seus trabalhadores, mas também um avanço nas tentativas de Pequim de assumir a liderança do avanço tecnológico e dos padrões mundiais. “, lê Avaliação Anual de Ameaças de 2023 do Gabinete do Diretor de Inteligência Nacional.
As três novas famílias de malware REF5961 foram chamadas EAGERBEE, RUDEBIRD e DOWNTOWN.
Ao contrário da BLOODALCHEMY, a composição da EAGERBEE sugere que o seu nível de sofisticação técnica era apenas médio, e é uma das três estirpes REF5961 que era anteriormente conhecida, mas sem nome até recentemente.
As evidências apontam para que também tenha sido utilizado no ataque ao departamento governamental da Mongólia através do conjunto de intrusão REF2924 – um exemplo de partilha de código e ferramentas entre os dois conjuntos.
Tanto RUDEBIRD quanto DOWNTOWN também foram vistos nas campanhas REF2924, sendo o primeiro um backdoor leve do Windows e o último um implante modular que foi anteriormente atribuído a um grupo de espionagem cibernética patrocinado pelo estado chinês. TA428.
Os dois também compartilham uma semelhança com o BLOODALCHEMY no sentido de que todos os três ainda possuem estruturas de depuração incluídas – ferramentas que geralmente são removidas antes de entrar na fase de produção – o que é uma evidência que sugere que eles ainda estão sendo trabalhados ativamente por seus operadores. ®
.
