Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

BLOODALCHEMY атакует госучреждения Южной Азии

27/05/24

south-east-asia

Недавнее исследование выявило, что свежий вредонос BLOODALCHEMY, используемый в атаках на государственные организации стран Южной и Юго-Восточной Азии, тесно связан с такими известными угрозами, как Deed RAT, ShadowPad и PlugX.

«Происхождение BLOODALCHEMY и Deed RAT связано с ShadowPad, и учитывая историю использования ShadowPad в многочисленных APT-кампаниях, крайне важно уделять особое внимание тенденциям использования этого вредоносного ПО», — отметили в японской ИБ-компании ITOCHU Cyber & Intelligence. Это передаёт Securitylab.

Впервые вредонос BLOODALCHEMY был задокументирован исследователями Elastic Security Labs в октябре 2023 года, когда они изучали вредоносную компанию, направленную на страны Ассоциации государств Юго-Восточной Азии (АСЕАН). Данный вредоносный инструмент, представляющий собой написанный на языке C бэкдор, внедряется в подписанный безвредный процесс «BrDifxapi.exe» с использованием техники подгрузки вредоносных библиотек DLL Sideloading.

«Хотя это не подтверждено, наличие столь малого количества встроенных команд указывает на то, что данное вредоносное ПО может быть лишь частью более крупного набора инструментов или же пока просто находится на стадии разработки. Либо оно действительно является столь узконаправленным инструментом для конкретных тактических целей», — отметили исследователи из Elastic в своём прошлогоднем отчёте.

Атаки с использованием BLOODALCHEMY включают компрометацию учетной записи на VPN-устройстве для начального доступа и загрузки «BrDifxapi.exe», который используется для подгрузки «BrLogAPI.dll». Этот загрузчик отвечает за выполнение кода BLOODALCHEMY в памяти после извлечения его из файла под названием «DIFX».

Вредоносное ПО использует специальный режим работы, позволяющий избегать анализа в песочницах, сохранять постоянство в системе, устанавливать контакт с сервером злоумышленников и контролировать зараженное устройство через удалённые команды.

Как уже было отмечено ранее, анализ ITOCHU выявил сходства кода BLOODALCHEMY с Deed RAT, многофункциональным вредоносным ПО, ранее используемым хакерской группировкой Space Pirates. Deed RAT рассматривается как следующая итерация ShadowPad, который, помимо того, сам является развитием PlugX.

«Первое заметное сходство — это уникальные структуры данных заголовка полезной нагрузки в BLOODALCHEMY и Deed RAT», — пояснили в ITOCHU. «Также были обнаружены сходства в процессе загрузки кода и файле DLL, используемом для его чтения».

Темы:ПреступленияКибератакиElastic Security LabsАзияCyber&Intelligence
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...