Cybersecurity-onderzoekers hebben ontdekt dat de malware bekend staat als BLOEDALCHEMIE gebruikt bij aanvallen gericht op overheidsorganisaties in Zuid- en Zuidoost-Azië is in feite een bijgewerkte versie van Deed RAT, waarvan wordt aangenomen dat het een opvolger is van ShadowPad.
“De oorsprong van BLOODALCHEMY en Deed RAT is ShadowPad en gezien de geschiedenis van het gebruik van ShadowPad in talloze APT-campagnes, is het van cruciaal belang om speciale aandacht te besteden aan de gebruikstrend van deze malware”, aldus het Japanse bedrijf ITOCHU Cyber & Intelligence.
BLOODALCHEMY werd voor het eerst gedocumenteerd door Elastic Security Labs in oktober 2023 in verband met een campagne die werd opgezet door een indringer die werd gevolgd als REF5961 en gericht was op de landen van de Associatie van Zuidoost-Aziatische Naties (ASEAN).
Een barebones x86-achterdeur geschreven in C, geïnjecteerd in een ondertekend, goedaardig proces (“BrDifxapi.exe”) met behulp van een techniek genaamd DLL side-loading, en is in staat de toolset te overschrijven, hostinformatie te verzamelen, extra payloads te laden en de installatie ongedaan te maken en zichzelf beëindigen.
“Hoewel het niet bevestigd is, geeft de aanwezigheid van zo weinig effectieve commando's aan dat de malware mogelijk een subfunctie is van een grotere inbraakset of malwarepakket, dat nog in ontwikkeling is, of een extreem gericht stukje malware voor een specifiek tactisch gebruik”, merkten Elastic-onderzoekers op. de tijd.
Er is waargenomen dat bij het inzetten van aanvalsketens een onderhoudsaccount op een VPN-apparaat in gevaar wordt gebracht om initiële toegang te krijgen voor het implementeren van BrDifxapi.exe, dat vervolgens wordt gebruikt om BrLogAPI.dll te sideloaden, een lader die verantwoordelijk is voor het uitvoeren van de BLOODALCHEMY-shellcode in het geheugen nadat deze uit een bestand met de naam DIFX.
De malware maakt gebruik van een zogenaamde run-modus die zijn gedrag bepaalt, waardoor het effectief analyse in sandbox-omgevingen kan omzeilen, persistentie kan instellen, contact kan maken met een externe server en de geïnfecteerde host kan besturen via de geïmplementeerde backdoor-opdrachten.
ITOCHU's analyse van BLOODALCHEMY heeft ook code-overeenkomsten geïdentificeerd met Deed RAT, een veelzijdige malware die exclusief wordt gebruikt door een bedreigingsacteur die bekend staat als Space Pirates en wordt gezien als de volgende iteratie van ShadowPad, die op zichzelf een evolutie is van PlugX.
“Het eerste opmerkelijk vergelijkbare punt zijn de unieke datastructuren van de payload-header in zowel BLOODALCHEMY als Deed RAT”, aldus het bedrijf. “Er zijn enkele overeenkomsten gevonden in het laadproces van shellcode en ook in het DLL-bestand dat wordt gebruikt om de shellcode te lezen.”
Het is vermeldenswaard dat zowel PlugX (Korplug) als ShadowPad (ook bekend als PoisonPlug) door de jaren heen op grote schaal zijn gebruikt door hackersgroepen uit China.
De onthulling komt op het moment dat een aan China gelieerde bedreigingsacteur, bekend als Sharp Dragon (voorheen Sharp Panda), zijn doelwitten heeft uitgebreid naar overheidsorganisaties in Afrika en het Caribisch gebied als onderdeel van een voortdurende cyberspionagecampagne.
