Как новый вредонос связан с уже проявившими себя ShadowPad и Deed RAT?
Новые киберугрозы часто являются результатом эволюции и модификации уже имеющихся вредоносных программ. Недавнее исследование выявило, что свежий вредонос BLOODALCHEMY, используемый в атаках на государственные организации стран Южной и Юго-Восточной Азии, тесно связан с такими известными угрозами, как Deed RAT, ShadowPad и PlugX.
«Происхождение BLOODALCHEMY и Deed RAT связано с ShadowPad, и учитывая историю использования ShadowPad в многочисленных APT-кампаниях, крайне важно уделять особое внимание тенденциям использования этого вредоносного ПО», — отметили в японской ИБ-компании ITOCHU Cyber & Intelligence.
Впервые вредонос BLOODALCHEMY был задокументирован исследователями Elastic Security Labs в октябре 2023 года, когда они изучали вредоносную компанию, направленную на страны Ассоциации государств Юго-Восточной Азии (АСЕАН). Данный вредоносный инструмент, представляющий собой написанный на языке C бэкдор, внедряется в подписанный безвредный процесс «BrDifxapi.exe» с использованием техники подгрузки вредоносных библиотек DLL Sideloading.
«Хотя это не подтверждено, наличие столь малого количества встроенных команд указывает на то, что данное вредоносное ПО может быть лишь частью более крупного набора инструментов или же пока просто находится на стадии разработки. Либо оно действительно является столь узконаправленным инструментом для конкретных тактических целей», — отметили исследователи из Elastic в своём прошлогоднем отчёте.
Атаки с использованием BLOODALCHEMY включают компрометацию учетной записи на VPN-устройстве для начального доступа и загрузки «BrDifxapi.exe», который используется для подгрузки «BrLogAPI.dll». Этот загрузчик отвечает за выполнение кода BLOODALCHEMY в памяти после извлечения его из файла под названием «DIFX».
Вредоносное ПО использует специальный режим работы, позволяющий избегать анализа в песочницах, сохранять постоянство в системе, устанавливать контакт с сервером злоумышленников и контролировать зараженное устройство через удалённые команды.
Как уже было отмечено ранее, анализ ITOCHU выявил сходства кода BLOODALCHEMY с Deed RAT, многофункциональным вредоносным ПО, ранее используемым хакерской группировкой Space Pirates. Deed RAT рассматривается как следующая итерация ShadowPad, который, помимо того, сам является развитием PlugX.
«Первое заметное сходство — это уникальные структуры данных заголовка полезной нагрузки в BLOODALCHEMY и Deed RAT», — пояснили в ITOCHU. «Также были обнаружены сходства в процессе загрузки кода и файле DLL, используемом для его чтения».
Стоит отметить, что как PlugX (Korplug), так и ShadowPad (PoisonPlug) широко использовались китайскими хакерскими группировками на протяжении многих лет.
Эти данные появились на фоне расширения деятельности китайской хакерской группы Sharp Panda (также известной как Sharp Dragon), которая в рамках продолжающейся кибершпионской кампании начала атаковать государственные организации в Африке и Карибском регионе.
Искусственный интеллект уже умнее вас. Как не стать рабом машин?
Узнайте у нас!
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.
