SANGALCHIMIE Porte dérobée
Des experts en cybersécurité ont récemment découvert un point d'accès secret utilisé dans des cyberattaques contre des organismes gouvernementaux et des organisations appartenant à l'Association des nations de l'Asie du Sud-Est (ASEAN). Appelée « BLOODALCHEMY » par ces experts, cette entrée clandestine cible spécifiquement les systèmes x86 et fait partie de la stratégie d'intrusion REF5961, récemment adoptée par un groupe ayant des liens apparents avec la Chine.
Une stratégie d'intrusion fait référence à la fusion de tactiques, méthodes et outils reconnus associés à une attaque, ainsi qu'aux campagnes plus larges auxquelles ces attaques contribuent. Généralement, ces stratégies d'intrusion sont employées par un attaquant solitaire non identifié. Notamment, l’ensemble d’outils associés au REF5961 a également été observé lors d’une attaque distincte axée sur l’espionnage contre le gouvernement de la Mongolie.
Table des matières
La porte dérobée BLOODALCHEMY est toujours en développement actif
BLOODALCHEMY est la nouvelle porte dérobée utilisée par les opérateurs derrière REF5961. Malgré l’implication de développeurs de logiciels malveillants qualifiés dans sa création, il semble que ce soit un projet qui n’est pas encore complètement mûri.
Bien qu'il fonctionne comme une souche de malware fonctionnel et constitue l'une des trois familles de malwares récemment révélées et disséquées à partir des opérations REF5961, ses capacités restent quelque peu limitées.
Bien que cela ne soit pas vérifié, l'existence d'un nombre limité de commandes efficaces laisse entrevoir la possibilité que ce malware pourrait être un composant d'une stratégie d'intrusion ou d'une suite de malwares plus vaste encore en cours de développement, ou qu'il pourrait s'agir d'un malware extrêmement spécialisé conçu pour un objectif tactique spécifique.
Plusieurs mécanismes de persistance découverts dans la porte dérobée BLOODALCHEMY
Les chercheurs ont identifié un ensemble limité de commandes critiques dans le malware BLOODALCHEMY. Ces commandes activaient diverses fonctions telles que la modification de l'ensemble d'outils malveillants, l'exécution du programme malveillant, sa désinstallation et son arrêt, ainsi que la collecte d'informations sur l'hôte.
La commande de désinstallation s'est révélée particulièrement révélatrice car elle a dévoilé les nombreuses techniques employées par BLOODALCHEMY pour maintenir la persistance sur le système ciblé. Cette porte dérobée établit sa persistance en se dupliquant dans un dossier désigné, généralement nommé « Test ». Dans ce dossier réside le binaire du malware, intitulé « test.exe ». Le choix du dossier de persistance dépend du niveau de privilèges accordés à BLOODALCHEMY et peut être l'une des quatre possibilités suivantes : ProgramFiles, ProgramFiles(x86), Appdata ou LocalAppData\Programs.
De plus, BLOODALCHEMY a fait preuve de polyvalence dans ses mécanismes de persistance. Les fonctionnalités notables comprenaient la mise en œuvre du masquage des données classique via le cryptage de chaînes et des techniques d'obscurcissement supplémentaires. Le malware fonctionne également dans différents modes en fonction de sa configuration, s'exécutant dans le thread principal ou dans un thread séparé, fonctionnant comme un service ou injectant un shellcode après le lancement d'un processus Windows.
La porte dérobée BLOODALCHEMY fait partie d'un plus grand ensemble d'outils de logiciels malveillants
BLOODALCHEMY fait partie de l'ensemble d'intrusions REF5961, qui contient lui-même trois nouvelles familles de logiciels malveillants utilisés dans les attaques en cours. Ces familles de malwares ont depuis été liées à des attaques précédentes.
Des échantillons de logiciels malveillants dans REF5961 ont également été trouvés dans un ensemble d'intrusions précédent, REF2924, qui serait utilisé dans des attaques contre des membres de l'ASEAN, notamment le ministère mongol des Affaires étrangères. Les trois nouvelles familles de logiciels malveillants de REF5961 ont été appelées EAGERBEE, RUDEBIRD et DOWNTOWN.
Les flux communs de victimologie, d'outillage et d'exécution observés dans plusieurs campagnes contre les membres de l'ASEAN ont conduit les chercheurs à croire que les opérateurs de REF5961 sont alignés sur la Chine.
