SPECTRALVIPER Malware
Vietnamské veřejné společnosti se staly terčem sofistikovaného útoku využívajícího nově identifikovaná zadní vrátka nazvaná SPECTRALVIPER. SPECTRALVIPER je pokročilý x64 backdoor, který je silně zatemněn a dříve nebyl zveřejněn. Tento ohrožující nástroj má různé možnosti, včetně načítání a vkládání PE, nahrávání a stahování souborů, manipulace se soubory a adresáři a také předstírání identity.
Aktér hrozby za těmito útoky byl identifikován a sledován jako REF2754. Tento herec je spojen s vietnamskou hrozbou známou pod mnoha jmény, včetně APT32 , Canvas Cyclone (dříve Bismuth), Cobalt Kitty a OceanLotus. To naznačuje souvislost mezi probíhající kampaní a aktivitami této skupiny ohrožení.
Obsah
SPECTRALVIPER je nasazen vedle dalších malwarových hrozeb
Ohrožující aktivity zahrnují použití nástroje SysInternals ProcDump k usnadnění načítání nepodepsaného souboru DLL obsahujícího DONUTLOADER. Tento zavaděč je speciálně nakonfigurován tak, aby načítal SPECTRALVIPER spolu s dalšími variantami malwaru, jako jsou P8LOADER a POWERSEAL.
SPECRALVIPER po načtení naváže komunikaci se serverem ovládaným aktérem hrozby. Zůstává v klidovém stavu a čeká na další pokyny. Aby se vyhnul analýze, SPECTRALVIPER používá obfuskační techniky, jako je zploštění toku řízení, takže je obtížnější dešifrovat jeho funkčnost.
P8LOADER, napsaný v C++, má schopnost spouštět libovolné užitečné zatížení, buď ze souboru nebo přímo z paměti. Aktéři hrozeb navíc využívají přizpůsobený běh PowerShell s názvem POWERSEAL, který se specializuje na spouštění dodaných skriptů nebo příkazů PowerShellu.
V SPECTRALVIPER najdete vícenásobné hrozby
SPECTRALVIPER vykazuje řadu schopností, které přispívají k jeho škodlivým aktivitám. Díky své funkci načítání a vkládání PE může SPECTRALVIPER načítat a vkládat spustitelné soubory s podporou architektur x86 i x64. Tato funkce umožňuje malwaru spustit špatný kód v rámci legitimních procesů, účinně maskovat jeho aktivity a vyhýbat se detekci.
Další pozoruhodnou schopností SPECTRALVIPER je jeho schopnost vydávat se za bezpečnostní tokeny. Zosobněním těchto tokenů může malware získat zvýšená oprávnění a obcházet určitá bezpečnostní opatření. Tento neoprávněný přístup poskytuje útočníkovi možnost manipulovat s citlivými zdroji a provádět akce nad rámec jejich autorizovaného rozsahu.
Kromě toho má SPECTRALVIPER schopnost stahovat a nahrávat soubory do az kompromitovaného systému. Tato funkce umožňuje útočníkovi exfiltrovat citlivá data ze stroje oběti nebo dodat další škodlivou zátěž, čímž rozšíří jejich kontrolu a odolnost v kompromitovaném prostředí.
Kromě toho může zadní vrátka manipulovat se soubory a adresáři v napadeném systému. To zahrnuje vytváření, mazání, úpravy a přesouvání souborů nebo adresářů. Uplatněním kontroly nad souborovým systémem oběti získá útočník rozsáhlé oprávnění manipulovat a manipulovat se soubory a adresáři tak, aby vyhovovaly jejich cílům.
Tyto schopnosti společně přispívají k hrozbě, kterou představuje SPECTRALVIPER, a umožňují útočníkovi provádět různé nebezpečné aktivity při zachování perzistence a kontroly nad napadeným systémem.
Potenciální spojení s dalšími skupinami kyberzločinců
Činnosti spojené s REF2754 vykazují taktické podobnosti s jinou skupinou hrozeb označovanou jako REF4322. Druhá skupina je známá tím, že se zaměřuje především na vietnamské subjekty a nasazuje implantát po vykořisťování známý jako PHOREAL (také známý jako Rizzo).
Tato spojení vedla k hypotéze, že jak skupiny aktivit REF4322, tak REF2754 mohou představovat koordinované kampaně organizované vietnamskou hrozbou spojenou se státem. Důsledky této možnosti podtrhují potenciální zapojení národních státních aktérů do těchto sofistikovaných a cílených kybernetických operací.