Stealthy BLOODALCHEMY Malware Atacando Redes Governamentais da ASEAN – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Pesquisadores de segurança cibernética descobriram que o malware conhecido como BLOODALCHEMY, usado em ataques direcionados a organizações governamentais no Sul e Sudeste da Ásia, é na verdade uma versão atualizada do Deed RAT, que se acredita ser um sucessor do ShadowPad.

“A origem do BLOODCHEMY e do Deed RAT é o ShadowPad e, dada a história do ShadowPad sendo utilizado em várias campanhas APT, é crucial prestar atenção especial à tendência de uso desse malware”, disse a empresa japonesa ITOCHU Cyber & Intelligence.

O BLOODCHEMY foi primeiramente documentado pela Elastic Security Labs em outubro de 2023 em conexão com uma campanha realizada por um grupo de intrusão chamado REF5961, que teve como alvo os países da Associação das Nações do Sudeste Asiático (ASEAN).

Um backdoor x86 básico escrito em C, é injetado em um processo benigno assinado (“BrDifxapi.exe”) usando uma técnica chamada DLL side-loading e é capaz de sobrescrever o conjunto de ferramentas, coletar informações do host, carregar payloads adicionais e desinstalar e encerrar-se.

“Cadeias de ataque que foram observadas comprometendo uma conta de manutenção em um dispositivo VPN para obter acesso inicial e implantar o BrDifxapi.exe, que é usado para carregar o BrLogAPI.dll, um loader responsável por executar o shellcode BLOODALCHEMY na memória após extrair do arquivo DIFX”, afirmaram pesquisadores da Elastic.

A análise da ITOCHU sobre o BLOODCHEMY também identificou semelhanças de código com o Deed RAT, um malware multifacetado usado exclusivamente por um ator de ameaças conhecido como Space Pirates e é visto como a próxima iteração do ShadowPad.

É importante destacar que tanto o PlugX (Korplug) quanto o ShadowPad (também conhecido como PoisonPlug) têm sido amplamente utilizados por grupos de hackers de origem chinesa ao longo dos anos.

Vazamentos realizados este ano por uma contratada estatal chinesa chamada I-Soon revelaram que sobreposições táticas e de ferramentas entre grupos de hackers chineses derivam do fato de que essas entidades “hackeiam sob encomenda”, usando ferramentas semelhantes, dando credibilidade à presença de “almoxarifes digitais” que supervisionam um conjunto centralizado de ferramentas e técnicas.

A revelação ocorre conforme um ator de ameaças ligado à China conhecido como Sharp Dragon (anteriormente Sharp Panda) expandiu seus alvos para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética.

Você também pode gostar

Experts Encontram Falha no Serviço de IA ‘Replicate’ Expondo Modelos e Dados dos Clientes

Hackers Explorando Bug no Cache LiteSpeed para Obter Controle Total de Sites WordPress

Google Lança Recursos de Proteção e Roubo de Dados Alimentados por IA para Dispositivos Android