Puerta trasera de ALQUIMIA SANGRE
Expertos en ciberseguridad han descubierto recientemente un punto de acceso encubierto empleado en ciberataques contra organismos y organizaciones gubernamentales pertenecientes a la Asociación de Naciones del Sudeste Asiático (ASEAN). Denominada 'BLOODALCHEMY' por estos expertos, esta entrada clandestina apunta específicamente a sistemas x86 y es un componente de la estrategia de intrusión REF5961, adoptada recientemente por un grupo con aparentes conexiones con China.
Una estrategia de intrusión se refiere a la combinación de tácticas, métodos y herramientas reconocidas asociadas con un ataque, así como las campañas más amplias a las que contribuyen estos ataques. Normalmente, estas estrategias de intrusión las emplea un atacante solitario no identificado. En particular, el conjunto de herramientas asociado con REF5961 también se observó en un ataque distinto centrado en el espionaje contra el gobierno de Mongolia.
Tabla de contenido
La puerta trasera BLOODALCHEMY aún está en desarrollo activo
BLOODALCHEMY es la nueva puerta trasera empleada por los operadores detrás de REF5961. A pesar de la participación de desarrolladores de malware cualificados en su creación, parece ser un proyecto que aún no está completamente maduro.
Si bien funciona como una variedad de malware funcional y forma una de las tres familias de malware reveladas recientemente y analizadas de las operaciones REF5961, sus capacidades siguen siendo algo restringidas.
Aunque no está verificada, la existencia de un número limitado de comandos efectivos sugiere la posibilidad de que este malware pueda ser un componente de una estrategia de intrusión más grande o un conjunto de malware que aún está en desarrollo, o podría ser una pieza de malware extremadamente especializada diseñada para un propósito táctico específico.
Múltiples mecanismos de persistencia descubiertos en la puerta trasera de BLOODALCHEMY
Los investigadores identificaron un conjunto limitado de comandos críticos en el malware BLOODALCHEMY. Estos comandos permitieron varias funciones, como modificar el conjunto de herramientas de malware, ejecutar el programa de malware, desinstalarlo y finalizarlo, y recopilar información del host.
El comando de desinstalación resultó particularmente revelador ya que reveló las numerosas técnicas que BLOODALCHEMY empleó para mantener la persistencia en el sistema objetivo. Esta puerta trasera establece su persistencia duplicándose en una carpeta designada, normalmente denominada "Prueba". Dentro de esta carpeta se encuentra el binario del malware, denominado "test.exe". La elección de la carpeta de persistencia depende del nivel de privilegios otorgados a BLOODALCHEMY y puede ser una de cuatro posibilidades: ProgramFiles, ProgramFiles(x86), Appdata o LocalAppData\Programs.
Además, BLOODALCHEMY exhibió versatilidad en sus mecanismos de persistencia. Las características notables incluyeron la implementación del enmascaramiento de datos clásico mediante cifrado de cadenas y técnicas de ofuscación adicionales. El malware también opera en varios modos según su configuración, ejecutándose dentro del hilo principal o uno separado, funcionando como un servicio o inyectando un código shell después de iniciar un proceso de Windows.
La puerta trasera BLOODALCHEMY es parte de un conjunto de herramientas de malware más grande
BLOODALCHEMY es parte del conjunto de intrusión REF5961, que a su vez contiene tres nuevas familias de malware que se utilizan en ataques en curso. Desde entonces, estas familias de malware se han relacionado con ataques anteriores.
También se han encontrado muestras de malware en REF5961 en un conjunto de intrusión anterior, REF2924, que se cree que se utiliza en ataques a miembros de la ASEAN, incluido el Ministerio de Asuntos Exteriores de Mongolia. Las tres nuevas familias de malware de REF5961 se denominan EAGERBEE, RUDEBIRD y DOWNTOWN.
Los flujos comunes de victimología, herramientas y ejecución observados en múltiples campañas contra miembros de la ASEAN han llevado a los investigadores a creer que los operadores de REF5961 están alineados con China.
