Researchers cybersecurity ανακάλυψαν ότι το κακόβουλο λογισμικό (malware) BLOODALCHEMY, το οποίο χρησιμοποιείται σε επιθέσεις εναντίον κυβερνητικών οργανισμών στη Νότια και Νοτιοανατολική Ασία, είναι στην πραγματικότητα μια αναβαθμισμένη version του Deed RAT, το οποίο θεωρείται διάδοχος του ShadowPad.
«Η προέλευση του BLOODALCHEMY και του Deed RAT βρίσκεται στο ShadowPad. Δεδομένης της ιστορίας του ShadowPad που έχει χρησιμοποιηθεί σε πολλές καμπάνιες APT, είναι κρίσιμο να δώσουμε ιδιαίτερη προσοχή στην αυξανόμενη χρήση αυτού του κακόβουλου λογισμικού», όπως δήλωσε η ιαπωνική εταιρεία ITOCHU Cyber & Intelligence.
Read also: Το λογισμικό JAVS χρησιμοποιείται για επιθέσεις αλυσίδας εφοδιασμού
Το BLOODALCHEMY τεκμηριώθηκε για πρώτη φορά από τα Εργαστήρια Elastic Security Labs τον Οκτώβριο του 2023 σε σχέση με μια εκστρατεία που οργανώθηκε από μια εισβολή που παρακολουθείται ως REF5961 με στόχο τις χώρες της Ένωσης Εθνών της Νοτιοανατολικής Ασίας (ASEAN).
The backdoor barebones x86, γραμμένο σε C, εισέρχεται σε μια διεργασία (που ονομάζεται “BrDifxapi.exe”) μέσω μιας τεχνικής, γνωστής ως πλευρική φόρτωση DLL. Αυτό το backdoor μπορεί να αντικαταστήσει το σύνολο εργαλείων, να συλλέγει πληροφορίες από τον κεντρικό υπολογιστή, να φορτώνει επιπλέον ωφέλιμα φορτία και να απεγκαθίσταται και έπειτα να τερματίζεται.
«Παρόλο που δεν έχει επιβεβαιωθεί, η παρουσία τόσο λίγων αποτελεσματικών εντολών υποδηλώνει ότι το κακόβουλο λογισμικό μπορεί να αποτελεί ένα δευτερεύον στοιχείο ενός μεγαλύτερου συνόλου εισβολής ή ενός πακέτου κακόβουλου λογισμικού που βρίσκεται ακόμη υπό ανάπτυξη. Εναλλακτικά, θα μπορούσε να είναι ένα εστιασμένο κομμάτι κακόβουλου λογισμικού με συγκεκριμένη τακτική», σημείωσαν οι ερευνητές της Elastic.
See more: Ransomware επιθέσεις εκμεταλλεύονται ευπάθειες VMware ESXi
Έχει παρατηρηθεί η ανάπτυξη αλυσίδων επίθεσης που διακυβεύουν έναν λογαριασμό συντήρησης σε συσκευές VPN για να αποκτήσουν αρχική πρόσβαση στην ανάπτυξη του BrDifxapi.exe. Αυτό το αρχείο στη συνέχεια χρησιμοποιείται για τη φόρτωση του BrLogAPI.dll, ενός loader υπεύθυνου για την εκτέλεση του powershell κώδικα BLOODALCHEMY στη μνήμη, μετά την εξαγωγή του από αρχείο με το όνομα DIFX.
The malware λειτουργεί μέσω μιας λειτουργικής εκτέλεσης που καθορίζει τη συμπεριφορά του. Αυτό του επιτρέπει να αποφεύγει την ανάλυση σε περιβάλλοντα sandbox, να διατηρεί την επιμονή του, να επικοινωνεί με έναν απομακρυσμένο διακομιστή και να ελέγχει τον μολυσμένο υπολογιστή μέσω εντολών backdoor.
Source: thehackernews
 BLOODALCHEMY, το οποίο χρησιμοποιείται σε επιθέσεις εναντίον κυβερνητικών οργανισμών στη Νότια και Νοτιοανατολική Ασία, είναι στην πραγματικότητα μια αναβαθμισμένη έκδοση του Deed RAT, το οποίο θεωρείται διάδοχος του ShadowPad.){kind=link}