Expertos japoneses advierten sobre el malware BLOODALCHEMY, dirigido a agencias gubernamentales

Investigadores de ciberseguridad han descubierto que el malware conocido como BLOODALCHEMY utilizado en ataques dirigidos a organizaciones gubernamentales en el sur y sudeste de Asia es en realidad una versión actualizada de Deed RAT, que se cree que es un sucesor de ShadowPad.

«El origen de BLOODALCHEMY y Deed RAT es ShadowPad y, dado el historial de uso de ShadowPad en numerosas campañas APT, es crucial prestar especial atención a la tendencia de uso de este malware», dijo la empresa japonesa ITOCHU Cyber ​​& Intelligence.

BLOODALCHEMY fue documentado por primera vez por Elastic Security Labs en octubre de 2023 en relación con una campaña montada por una intrusión que rastrea como REF5961 dirigida a los países de la Asociación de Naciones del Sudeste Asiático (ASEAN).

Una puerta trasera x86 básica escrita en C, se inyecta en un proceso benigno firmado («BrDifxapi.exe») utilizando una técnica llamada carga lateral de DLL y es capaz de sobrescribir el conjunto de herramientas, recopilar información del host, cargar cargas útiles adicionales y desinstalar y terminándose a sí mismo.

«Aunque no está confirmado, la presencia de tan pocos comandos efectivos indica que el malware puede ser una subcaracterística de un conjunto de intrusión o paquete de malware más grande, aún en desarrollo, o una pieza de malware extremadamente enfocada para un uso táctico específico», señalaron los investigadores de Elastic en el tiempo.

Se ha observado que la implementación de cadenas de ataques compromete una cuenta de mantenimiento en un dispositivo VPN para obtener acceso inicial para implementar BrDifxapi.exe, que luego se usa para descargar BrLogAPI.dll, un cargador que es responsable de ejecutar el código shell BLOODALCHEMY en la memoria después de extraerlo de un archivo llamado DIFX.

El malware emplea lo que se llama un modo de ejecución que determina su comportamiento, lo que le permite evadir el análisis en entornos sandbox, configurar la persistencia, establecer contacto con un servidor remoto y controlar el host infectado a través de los comandos de puerta trasera implementados.

El análisis de BLOODALCHEMY de ITOCHU también ha identificado similitudes de código con Deed RAT, un malware multifacético utilizado exclusivamente por un actor de amenazas conocido como Space Pirates y que se considera la próxima versión de ShadowPad, que en sí mismo es una evolución de PlugX.

«El primer punto notablemente similar son las estructuras de datos únicas del encabezado de carga útil tanto en BloodAlchemy como en Deed RAT», dijo la compañía. «Se han encontrado algunas similitudes en el proceso de carga del código shell y también en el archivo DLL utilizado para leer el código shell».

La divulgación se produce cuando un actor de amenazas vinculado a China conocido como Sharp Dragon (anteriormente Sharp Panda) ha ampliado su objetivo para incluir organizaciones gubernamentales en África y el Caribe como parte de una campaña de ciberespionaje en curso.

Zi zoom

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.