Você está visualizando atualmente BLOODALCHEMY Malware Infiltrando Redes Governamentais da ASEAN de Forma Furtiva

BLOODALCHEMY Malware Infiltrando Redes Governamentais da ASEAN de Forma Furtiva

Pesquisadores de segurança cibernética descobriram que o malware conhecido como “BLOODALCHEMY”, usado em ataques direcionados a organizações governamentais no Sul e Sudeste da Ásia, na verdade é uma versão atualizada do Deed RAT, que é considerado um sucessor do ShadowPad.

A origem do “BLOODCHEMY” e do Deed RAT é o ShadowPad e, dada a história do ShadowPad sendo utilizado em várias campanhas APT, é crucial prestar atenção especial à tendência de uso desse malware, afirmou a empresa japonesa ITOCHU Cyber & Intelligence.

O BLOODCHEMY foi primeiramente documentado pela Elastic Security Labs em outubro de 2023, em conexão com uma campanha montada por um conjunto de intrusões que ele rastreia como REF5961, visando os países da Associação de Nações do Sudeste Asiático (ASEAN).

Um backdoor básico x86 escrito em C, ele é injetado em um processo benigno assinado (“BrDifxapi.exe”) usando uma técnica chamada DLL side-loading, e é capaz de sobrescrever o conjunto de ferramentas, coletar informações do host, carregar payloads adicionais e desinstalar e finalizar a si mesmo.

Enquanto não confirmado, a presença de tão poucos comandos eficazes indica que o malware pode ser um subconjunto de um conjunto de intrusões maior ou um pacote de malware ainda em desenvolvimento, ou um malware extremamente focado para um uso tático específico, observaram os pesquisadores da Elastic na época.

Cadeias de ataques empregando a comprometimento de uma conta de manutenção em um dispositivo VPN para obter acesso inicial para implantar o BrDifxapi.exe, que é então usado para carregar o BrLogAPI.dll, um carregador responsável por executar o shellcode BLOODCHEMY na memória após extraí-lo de um arquivo chamado DIFX.

O malware emprega o chamado modo de execução que determina seu comportamento, permitindo-lhe evadir a análise em ambientes de sandbox, estabelecer persistência, estabelecer contato com um servidor remoto e controlar o host infectado pelos comandos do backdoor implementado.

A análise da ITOCHU sobre o BLOODCHEMY também identificou similaridades de código com o Deed RAT, um malware multifacetado exclusivamente usado por um ator de ameaça conhecido como “Space Pirates” e é visto como a próxima iteração do ShadowPad, que por si só é uma evolução do PlugX.

O primeiro ponto muito semelhante é a estrutura de dados única do cabeçalho do payload tanto no BLOODCHEMY quanto no Deed RAT, disse a empresa. Algumas similaridades foram encontradas no processo de carregamento do shellcode e no arquivo DLL usado para ler o shellcode também.

Vale ressaltar que tanto o PlugX (Korplug) quanto o ShadowPad (também conhecido como PoisonPlug) foram amplamente utilizados por grupos de hackers chineses ao longo dos anos.

Vazamentos no início deste ano de um contratado estatal chinês chamado I-Soon revelaram que essas sobreposições táticas e de ferramentas entre grupos de hackers chineses decorrem do fato de que essas entidades de hack-for-hire suportam múltiplas campanhas com ferramentas semelhantes, dando credibilidade à presença de “quarteirões digitais” que supervisionam um pool centralizado de ferramentas e técnicas.

A divulgação vem à tona, enquanto um ator de ameaça ligado à China conhecido como “Sharp Dragon” (anteriormente Sharp Panda) expandiu seu alvo para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética.