Исследователи из Elastic Security Labs обнаружили новый бэкдор BLOODALCHEMY, используемый в атаках против стран Ассоциации государств Юго-Восточной Азии (Association of Southeast Asian Nations, ASEAN ). Бэкдор нацелен на системы x86 и входит в набор вторжений REF5961, используемый китайскими киберпреступниками.
BLOODALCHEMY, несмотря на свою функциональность, считается незавершенным проектом с ограниченными возможностями. Это одно из трех новых семейств вредоносного ПО, обнаруженных при анализе REF5961. Ключевые команды бэкдора включают запись или перезапись набора инструментов, запуск бинарного файла, удаление и завершение работы, а также сбор информации о хосте.
Бэкдор копирует себя в специальную папку для обеспечения устойчивости на целевой машине. В зависимости от уровня привилегий, папка может быть одной из четырех: ProgramFiles, ProgramFiles(x86), Appdata, LocalAppDataPrograms.
BLOODALCHEMY – часть более широкого арсенала инструментов REF5961, связанных с текущими и предыдущими атаками. Исследователи полагают, что операторы REF5961 имеют связь с Китаем, что подтверждается обнаружением образцов вредоносного ПО в предыдущем наборе вторжений REF2924, использовавшемся против членов ASEAN.
Три новых семейства вредоносного ПО REF5961 названы EAGERBEE, RUDEBIRD и DOWNTOWN. EAGERBEE был использован в атаке на Монголию, а RUDEBIRD и DOWNTOWN связаны с китайскими правительственными хакерами TA428. Все бэкдоры похожи на BLOODALCHEMY тем, что во всех присутствуют системы отладки – инструменты, которые обычно удаляются перед входом на этап производства, что является доказательством того, что над ними все еще активно работают их операторы. Проведя анализ инструментов и их фокусирование на краже данных, Elastic Security Labs заключили, что операторы REF5961 и REF2924 являются спонсируемыми государством кибершпионами.