Programari maliciós SPECTRALVIPER
Les empreses públiques vietnamites s'han convertit en objectiu d'un atac sofisticat que utilitza una porta posterior identificada recentment anomenada SPECTRALVIPER. SPECTRALVIPER és una porta posterior avançada x64 que està molt ofuscada i que abans no es va revelar. Aquesta eina amenaçadora té diverses capacitats, com ara la càrrega i la injecció de PE, la càrrega i descàrrega de fitxers, la manipulació de fitxers i directoris, així com la suplantació de testimonis.
L'actor d'amenaça darrere d'aquests atacs ha estat identificat i rastrejat com a REF2754. Aquest actor està associat a un grup d'amenaces vietnamita conegut amb diversos noms, com ara APT32 , Canvas Cyclone (abans Bismuth), Cobalt Kitty i OceanLotus. Això suggereix una connexió entre la campanya en curs i les activitats d'aquest grup d'amenaça.
Taula de continguts
SPECTRALVIPER es desplega juntament amb altres amenaces de programari maliciós
Les activitats amenaçadores impliquen la utilització de la utilitat SysInternals ProcDump per facilitar la càrrega d'un fitxer DLL sense signar que conté el DONUTLOADER. Aquest carregador està configurat específicament per carregar SPECTRALVIPER, juntament amb altres variants de programari maliciós, com ara P8LOADER i POWERSEAL.
SPECTRALVIPER, un cop carregat, estableix la comunicació amb un servidor controlat per l'actor de l'amenaça. Es manté en estat latent, esperant més instruccions. Per evitar l'anàlisi, SPECTRALVIPER utilitza tècniques d'ofuscació com l'aplanament del flux de control, cosa que fa que sigui més difícil desxifrar la seva funcionalitat.
P8LOADER, escrit en C++, té la capacitat d'executar càrregues útils arbitràries, ja sigui des d'un fitxer o directament des de la memòria. A més, els actors de l'amenaça utilitzen un corredor de PowerShell personalitzat anomenat POWERSEAL, que s'especialitza en executar ordres o ordres de PowerShell subministrats.
Múltiples capacitats d’amenaça es troben a SPECTRALVIPER
SPECTRALVIPER presenta una sèrie de capacitats que contribueixen a les seves activitats nocives. Amb la seva funcionalitat de càrrega i injecció de PE, SPECTRALVIPER pot carregar i injectar fitxers executables, compatibles tant amb arquitectures x86 com x64. Aquesta característica permet que el programari maliciós executi un codi dolent dins de processos legítims, camuflant eficaçment les seves activitats i evadint la detecció.
Una altra capacitat destacable de SPECTRALVIPER és la seva capacitat per suplantar fitxes de seguretat. En suplantar aquests testimonis, el programari maliciós pot adquirir privilegis elevats, eludint determinades mesures de seguretat vigents. Aquest accés no autoritzat atorga a l'atacant la capacitat de manipular recursos sensibles i dur a terme accions més enllà del seu abast autoritzat.
A més, SPECTRALVIPER té la capacitat de descarregar i carregar fitxers cap i des del sistema compromès. Aquesta funcionalitat permet a l'atacant extreure dades sensibles de la màquina de la víctima o lliurar càrregues útils malicioses addicionals, ampliant el seu control i persistència dins de l'entorn compromès.
A més, la porta posterior pot manipular fitxers i directoris del sistema compromès. Això inclou crear, suprimir, modificar i moure fitxers o directoris. En exercir el control sobre el sistema de fitxers de la víctima, l'atacant obté una àmplia autoritat per manipular i manipular els fitxers i directoris segons els seus objectius.
Aquestes capacitats contribueixen col·lectivament a l'amenaça que suposa SPECTRALVIPER, permetent a l'atacant executar diverses activitats insegures alhora que manté la persistència i el control sobre el sistema compromès.
Connexió potencial amb altres grups cibercriminals
En particular, les activitats associades amb REF2754 presenten similituds tàctiques amb un altre grup d'amenaça denominat REF4322. Aquest darrer grup és conegut per dirigir-se principalment a entitats vietnamites i desplegar un implant posterior a l'explotació conegut com PHOREAL (també conegut com a Rizzo).
Aquestes connexions han donat lloc a la hipòtesi que tant els grups d'activitats REF4322 com REF2754 poden representar campanyes coordinades orquestades per una entitat d'amenaça vietnamita afiliada a l'estat. Les implicacions d'aquesta possibilitat subratllen la possible implicació dels actors de l'estat-nació en aquestes operacions cibernètiques sofisticades i dirigides.
