Bloodalchemy Malware Furtivo Visando Redes Governamentais da ASEAN – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Pesquisadores de cibersegurança descobriram que o malware conhecido como BLOODALCHEMY, usado em ataques direcionados a organizações governamentais no Sul e Sudeste da Ásia, é na verdade uma versão atualizada do Deed RAT, que se acredita ser um sucessor do ShadowPad.

“A origem do BLOODALCHEMY e do Deed RAT é o ShadowPad e, dada a história do ShadowPad sendo utilizado em inúmeras campanhas APT, é crucial prestar atenção especial à tendência de uso desse malware”, disse a empresa japonesa ITOCHU Cyber & Intelligence.

O BLOODALCHEMY foi primeiramente documentado pelo Elastic Security Labs em outubro de 2023, em conexão com uma campanha montada por um grupo de intrusão que rastreia como REF5961, mirando países da Associação das Nações do Sudeste Asiático (ASEAN).

Um backdoor x86 básico escrito em C, ele é injetado em um processo benigno assinado (“BrDifxapi.exe”) usando uma técnica chamada DLL side-loading e é capaz de sobrescrever o conjunto de ferramentas, reunir informações do host, carregar cargas adicionais e se desinstalar e encerrar por si só.

“Embora não confirmado, a presença de tão poucos comandos eficazes indica que o malware pode ser um sub-recurso de um conjunto de intrusões maior ou pacote de malware, ainda em desenvolvimento, ou um malware extremamente focado para um uso tático específico”, observaram os pesquisadores do Elastic na época.

Cadeias de ataque já foram observadas comprometendo uma conta de manutenção em um dispositivo VPN para obter acesso inicial a fim de implantar o BrDifxapi.exe, que é usado para carregar o BrLogAPI.dll, um carregador responsável por executar o shellcode BLOODALCHEMY na memória após extraí-lo de um arquivo chamado DIFX.

O malware emprega um modo de execução que determina seu comportamento, permitindo-lhe evadir análises em ambientes de sandbox, estabelecer persistência, estabelecer contato com um servidor remoto e controlar o host infectado por meio de comandos de backdoor implementados.

A análise da ITOCHU sobre o BLOODALCHEMY também identificou similaridades de código com o Deed RAT, um malware multifacetado exclusivamente utilizado por um grupo de ameaças conhecido como Space Pirates e é visto como a próxima iteração do ShadowPad, que por sua vez é uma evolução do PlugX.

“O primeiro ponto notavelmente semelhante são as estruturas de dados únicas do cabeçalho da carga útil em ambos BLOODALCHEMY e Deed RAT”, afirmou a empresa. “Algumas similaridades foram encontradas no processo de carga do shellcode e no arquivo DLL usado para ler o shellcode também.”

Vale ressaltar que tanto o PlugX (Korplug) quanto o ShadowPad (também conhecido como PoisonPlug) foram amplamente utilizados por grupos de hackers vinculados à China ao longo dos anos.

A revelação vem à tona quando um grupo de ameaças ligado à China conhecido como Sharp Dragon (anteriormente Sharp Panda) expandiu seus alvos para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de ciberespionagem.

Você também pode gostar

CensysGPT: CAÇA DE AMEAÇAS POTENCIADO POR IA PARA PROFISSIONAIS DE CIBERSEGURANÇA (WEBINAR)

NextGen Healthcare Mirth Connect Sob Ataque – CISA Emite Aviso Urgente

Hackers Vinculados à China Adotam Tática de Infecção em Duas Etapas para Implantar o Deuterbear RAT