SPECTRALVIPER البرامج الضارة
أصبحت الشركات العامة الفيتنامية أهدافًا لهجوم معقد باستخدام باب خلفي تم تحديده حديثًا يسمى SPECTRALVIPER. SPECTRALVIPER هو باب خلفي متقدم x64 محجوب بشكل كبير ولم يتم الكشف عنه من قبل. تمتلك أداة التهديد هذه إمكانيات متنوعة ، بما في ذلك تحميل وحقن PE ، وتحميل الملفات وتنزيلها ، ومعالجة الملفات والدليل ، فضلاً عن انتحال الهوية الرمزية.
تم تحديد الجهة الفاعلة التي تمثل التهديد وراء هذه الهجمات وتعقبها على أنها REF2754. يرتبط هذا الممثل بمجموعة تهديد فيتنامية معروفة بأسماء متعددة ، بما في ذلك APT32 و Canvas Cyclone (سابقًا Bismuth) و Cobalt Kitty و OceanLotus. يشير هذا إلى وجود صلة بين الحملة الجارية وأنشطة مجموعة التهديد هذه.
جدول المحتويات
يتم نشر SPECTRALVIPER جنبًا إلى جنب مع تهديدات البرامج الضارة الأخرى
تتضمن الأنشطة التهديدية استخدام الأداة المساعدة SysInternals ProcDump لتسهيل تحميل ملف DLL غير موقع يحتوي على DONUTLOADER. تم تكوين هذا المُحمل خصيصًا لتحميل SPECTRALVIPER ، جنبًا إلى جنب مع متغيرات البرامج الضارة الأخرى ، مثل P8LOADER و POWERSEAL.
SPECTRALVIPER ، بمجرد تحميله ، ينشئ اتصالًا مع خادم يتحكم فيه ممثل التهديد. لا يزال في حالة سبات ، في انتظار مزيد من التعليمات. لتجنب التحليل ، يستخدم SPECTRALVIPER تقنيات التشويش مثل التحكم في تسطيح التدفق ، مما يجعل فك تشفير وظائفه أكثر صعوبة.
P8LOADER ، المكتوب بلغة C ++ ، يمتلك القدرة على تنفيذ حمولات عشوائية ، إما من ملف أو مباشرة من الذاكرة. بالإضافة إلى ذلك ، يستخدم ممثلو التهديد عداء PowerShell مخصصًا يسمى POWERSEAL ، والذي يتخصص في تنفيذ البرامج النصية أو أوامر PowerShell المزودة.
تم العثور على قدرات تهديد متعددة في جهاز SPECTRALVIPER
يعرض SPECTRALVIPER مجموعة من القدرات التي تساهم في أنشطته الضارة. بفضل وظائف التحميل والحقن PE ، يمكن لـ SPECTRALVIPER تحميل وحقن الملفات القابلة للتنفيذ ، مما يدعم كلاً من بنيات x86 و x64. تتيح هذه الميزة للبرامج الضارة تنفيذ تعليمات برمجية سيئة ضمن عمليات مشروعة ، وتمويه أنشطتها بشكل فعال وتجنب الاكتشاف.
القدرة الأخرى الجديرة بالملاحظة لـ SPECTRALVIPER هي قدرتها على انتحال صفة الرموز الأمنية. من خلال انتحال صفة هذه الرموز المميزة ، يمكن للبرامج الضارة الحصول على امتيازات عالية ، والتحايل على بعض الإجراءات الأمنية المعمول بها. يمنح هذا الوصول غير المصرح به المهاجم القدرة على التلاعب بالموارد الحساسة وتنفيذ إجراءات خارج النطاق المصرح به.
علاوة على ذلك ، تمتلك SPECTRALVIPER القدرة على تنزيل وتحميل الملفات من وإلى النظام المخترق. تسمح هذه الوظيفة للمهاجم بسحب البيانات الحساسة من جهاز الضحية أو تسليم حمولات ضارة إضافية ، مما يوسع سيطرته واستمراريته داخل البيئة المعرضة للخطر.
بالإضافة إلى ذلك ، يمكن للباب الخلفي معالجة الملفات والأدلة الموجودة على النظام المخترق. يتضمن ذلك إنشاء وحذف وتعديل ونقل الملفات أو الدلائل. من خلال ممارسة السيطرة على نظام ملفات الضحية ، يكتسب المهاجم سلطة واسعة للتعامل مع الملفات والأدلة ومعالجتها بما يتناسب مع أهدافهم.
تساهم هذه القدرات بشكل جماعي في التهديد الذي تشكله SPECTRALVIPER ، مما يمكّن المهاجم من تنفيذ العديد من الأنشطة غير الآمنة مع الحفاظ على المثابرة والسيطرة على النظام المخترق.
الاتصال المحتمل بمجموعات مجرمي الإنترنت الأخرى
والجدير بالذكر أن الأنشطة المرتبطة بـ REF2754 تُظهر أوجه تشابه تكتيكية مع مجموعة تهديد أخرى يشار إليها باسم REF4322. تشتهر المجموعة الأخيرة باستهداف الكيانات الفيتنامية بشكل أساسي ونشر غرسة ما بعد الاستغلال المعروفة باسم PHOREAL (المعروف أيضًا باسم Rizzo).
أدت هذه الروابط إلى فرضية أن كلا من مجموعات النشاط REF4322 و REF2754 قد تمثل حملات منسقة تنظمها كيان تهديد فيتنامي تابع للدولة. تؤكد الآثار المترتبة على هذا الاحتمال على المشاركة المحتملة للجهات الفاعلة في الدولة القومية في هذه العمليات السيبرانية المعقدة والمستهدفة.
