Você está visualizando atualmente Propagação do Malware BLOODALCHEMY Furtivo direcionado às Redes Governamentais da ASEAN

Propagação do Malware BLOODALCHEMY Furtivo direcionado às Redes Governamentais da ASEAN

Pesquisadores de cibersegurança descobriram que o malware conhecido como BLOODALCHEMY, usado em ataques contra organizações governamentais do Sul e Sudeste da Ásia, na verdade, é uma versão atualizada do Deed RAT, que é considerado sucessor do ShadowPad.

A BLOODALCHEMY foi primeiramente documentada pela Elastic Security Labs em outubro de 2023 em conexão com uma campanha montada por um conjunto de intrusão que rastreia como REF5961, visando os países da Associação das Nações do Sudeste Asiático (ASEAN).

Um backdoor x86 básico escrito em C, inserido em um processo benigno assinado (“BrDifxapi.exe”) usando uma técnica chamada DLL sideloading, é capaz de sobrescrever o conjunto de ferramentas, coletar informações do host, carregar payloads adicionais, e desinstalar e encerrar a si mesmo.

Cadeias de ataques que empregam o malware foram observadas comprometendo uma conta de manutenção em um dispositivo de VPN para obter acesso inicial e implementar o BrDifxapi.exe, que é então usado para carregar o BrLogAPI.dll, um loader responsável por executar o shellcode da BLOODALCHEMY em memória após extraí-lo de um arquivo chamado DIFX.

O malware emprega o que é chamado de um modo de execução que determina seu comportamento, permitindo efetivamente evadir análises em ambientes de sandbox, estabelecer persistência, estabelecer contato com um servidor remoto e controlar o host infectado por meio dos comandos implementados no backdoor.

A análise da BLOODALCHEMY pela ITOCHU também identificou similaridades de código com o Deed RAT, um malware multifacetado exclusivamente usado por um ator de ameaças conhecido como Space Pirates e é visto como a próxima iteração do ShadowPad, que por sua vez é uma evolução do PlugX.

Vale ressaltar que tanto o PlugX (Korplug) quanto o ShadowPad (também conhecido como PoisonPlug) foram amplamente utilizados por grupos de hackers nexus-chineses ao longo dos anos.

Vazamentos no início deste ano de um contratante estatal chinês chamado I-Soon revelaram que essas sobreposições táticas e de ferramentas entre grupos de hacking chineses derivam do fato de que essas entidades de hack-for-hire suportam múltiplas campanhas com ferramentas semelhantes, dando crédito à presença de “quarteirões digitais” que supervisionam um pool centralizado de ferramentas e técnicas.

Essas descobertas surgem à medida que um ator de ameaças vinculado à China conhecido como Sharp Dragon (anteriormente Sharp Panda) expandiu sua mira para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética.