SPECTRALVIPER Зловреден софтуер
Виетнамски публични компании станаха мишена на сложна атака, използваща новооткрита задна врата, наречена SPECTRALVIPER. SPECTRALVIPER е усъвършенствана x64 задна врата, която е силно скрита и не е била разкривана преди. Този заплашителен инструмент притежава различни възможности, включително PE зареждане и инжектиране, качване и изтегляне на файлове, манипулиране на файлове и директории, както и имитиране на токени.
Заплахата зад тези атаки е идентифицирана и проследена като REF2754. Този актьор е свързан с виетнамска група за заплахи, известна с множество имена, включително APT32 , Canvas Cyclone (бивш Bismuth), Cobalt Kitty и OceanLotus. Това предполага връзка между провежданата кампания и дейността на тази заплашителна група.
Съдържание
SPECTRALVIPER се внедрява заедно с други заплахи от зловреден софтуер
Заплашващите дейности включват използването на помощната програма SysInternals ProcDump за улесняване на зареждането на неподписан DLL файл, съдържащ DONUTLOADER. Този товарач е специално конфигуриран да зарежда SPECTRALVIPER, заедно с други варианти на зловреден софтуер, като P8LOADER и POWERSEAL.
Веднъж зареден, SPECTRALVIPER установява комуникация със сървър, контролиран от заплахата. Той остава в латентно състояние в очакване на допълнителни инструкции. За да избегне анализа, SPECTRALVIPER използва техники за обфускация, като изравняване на контролния поток, което прави дешифрирането на неговата функционалност по-трудно.
P8LOADER, написан на C++, притежава способността да изпълнява произволни полезни натоварвания, или от файл, или директно от паметта. Освен това участниците в заплахата използват персонализиран PowerShell runner, наречен POWERSEAL, който е специализиран в изпълнението на предоставени PowerShell скриптове или команди.
Множество заплашителни способности, открити в SPECTRALVIPER
SPECTRALVIPER проявява набор от способности, които допринасят за неговите вредни дейности. Със своята функционалност за зареждане и инжектиране на PE, SPECTRALVIPER може да зарежда и инжектира изпълними файлове, поддържайки x86 и x64 архитектури. Тази функция позволява на злонамерения софтуер да изпълни лош код в легитимни процеси, като ефективно камуфлира своите дейности и избягва откриването.
Друга забележителна способност на SPECTRALVIPER е способността му да се представя за токени за сигурност. Като се представя за тези токени, зловредният софтуер може да придобие повишени привилегии, заобикаляйки определени мерки за сигурност. Този неоторизиран достъп предоставя на атакуващия възможността да манипулира чувствителни ресурси и да извършва действия извън техния разрешен обхват.
Освен това SPECTRALVIPER притежава способността да изтегля и качва файлове към и от компрометираната система. Тази функционалност позволява на атакуващия да ексфилтрира чувствителни данни от машината на жертвата или да достави допълнителни злонамерени полезни товари, разширявайки техния контрол и устойчивост в рамките на компрометираната среда.
В допълнение, задната врата може да манипулира файлове и директории в компрометираната система. Това включва създаване, изтриване, модифициране и преместване на файлове или директории. Упражнявайки контрол върху файловата система на жертвата, нападателят получава обширни правомощия да манипулира и манипулира файловете и директориите, за да отговаря на целите си.
Тези способности колективно допринасят за заплахата, породена от SPECTRALVIPER, като позволяват на атакуващия да изпълнява различни опасни дейности, като същевременно поддържа постоянство и контрол върху компрометираната система.
Потенциална връзка с други киберпрестъпни групи
Трябва да се отбележи, че дейностите, свързани с REF2754, показват тактически прилики с друга група заплахи, посочена като REF4322. Последната група е известна с това, че се насочва предимно към виетнамски субекти и разполага с имплант след експлоатация, известен като PHOREAL (известен също като Rizzo).
Тези връзки са довели до хипотезата, че групите за дейност REF4322 и REF2754 могат да представляват координирани кампании, дирижирани от виетнамска организация за заплаха, свързана с държавата. Последствията от тази възможност подчертават потенциалното участие на участници от националните държави в тези сложни и целенасочени кибер операции.
