SPECTRALVIPER Malware
Vietnamesiske offentlige virksomheder er blevet mål for et sofistikeret angreb ved hjælp af en nyligt identificeret bagdør kaldet SPECTRALVIPER. SPECTRALVIPER er en avanceret x64-bagdør, der er stærkt sløret og tidligere ikke blev offentliggjort. Dette truende værktøj besidder forskellige muligheder, herunder PE-indlæsning og -injektion, filupload og -download, fil- og mappemanipulation samt token-efterligning.
Trusselsaktøren bag disse angreb er blevet identificeret og sporet som REF2754. Denne skuespiller er forbundet med en vietnamesisk trusselgruppe kendt under flere navne, herunder APT32 , Canvas Cyclone (tidligere Bismuth), Cobalt Kitty og OceanLotus. Dette tyder på en sammenhæng mellem den igangværende kampagne og aktiviteterne i denne trusselgruppe.
Indholdsfortegnelse
SPECTRALVIPER er implementeret sammen med andre malware-trusler
De truende aktiviteter involverer brugen af SysInternals ProcDump-værktøjet til at lette indlæsningen af en usigneret DLL-fil, der indeholder DONUTLOADER. Denne loader er specifikt konfigureret til at indlæse SPECTRALVIPER sammen med andre malware-varianter, såsom P8LOADER og POWERSEAL.
SPECTRALVIPER, når først den er indlæst, etablerer kommunikation med en server, der styres af trusselsaktøren. Det forbliver i en sovende tilstand og afventer yderligere instruktioner. For at undgå analyse anvender SPECTRALVIPER sløringsteknikker som f.eks. kontrolflowudfladning, hvilket gør det mere udfordrende at tyde dets funktionalitet.
P8LOADER, skrevet i C++, besidder evnen til at udføre vilkårlige nyttelaster, enten fra en fil eller direkte fra hukommelsen. Derudover anvender trusselsaktørerne en tilpasset PowerShell-løber kaldet POWERSEAL, som er specialiseret i at udføre medfølgende PowerShell-scripts eller kommandoer.
Flere truende egenskaber fundet i SPECTRALVIPER
SPECTRALVIPER udviser en række egenskaber, der bidrager til dets skadelige aktiviteter. Med sin PE-indlæsnings- og indsprøjtningsfunktionalitet kan SPECTRALVIPER indlæse og injicere eksekverbare filer, der understøtter både x86- og x64-arkitekturer. Denne funktion gør det muligt for malwaren at udføre en dårlig kode inden for legitime processer, hvilket effektivt camouflerer dens aktiviteter og undgår opdagelse.
En anden bemærkelsesværdig egenskab ved SPECTRALVIPER er dens evne til at efterligne sikkerhedstokens. Ved at efterligne disse tokens kan malwaren opnå forhøjede privilegier og omgå visse sikkerhedsforanstaltninger på plads. Denne uautoriserede adgang giver angriberen mulighed for at manipulere følsomme ressourcer og udføre handlinger uden for deres autoriserede omfang.
Derudover besidder SPECTRALVIPER evnen til at downloade og uploade filer til og fra det kompromitterede system. Denne funktionalitet gør det muligt for angriberen at fjerne følsomme data fra ofrets maskine eller levere yderligere ondsindede nyttelaster, hvilket udvider deres kontrol og vedholdenhed i det kompromitterede miljø.
Derudover kan bagdøren manipulere filer og mapper på det kompromitterede system. Dette omfatter oprettelse, sletning, ændring og flytning af filer eller mapper. Ved at udøve kontrol over offerets filsystem får angriberen omfattende autoritet til at manipulere og manipulere filerne og mapperne, så de passer til deres mål.
Disse egenskaber bidrager tilsammen til truslen fra SPECTRALVIPER, hvilket gør det muligt for angriberen at udføre forskellige usikre aktiviteter, samtidig med at den opretholder vedholdenhed og kontrol over det kompromitterede system.
Potentiel forbindelse til andre cyberkriminelle grupper
Det er bemærkelsesværdigt, at aktiviteterne i forbindelse med REF2754 udviser taktiske ligheder med en anden trusselsgruppe kaldet REF4322. Sidstnævnte gruppe er kendt for primært at målrette vietnamesiske enheder og implementere et post-udnyttelsesimplantat kendt som PHOREAL (også kendt som Rizzo).
Disse forbindelser har ført til den hypotese, at både REF4322 og REF2754 aktivitetsgrupper kan repræsentere koordinerede kampagner orkestreret af en vietnamesisk trusselenhed tilknyttet staten. Implikationerne af denne mulighed understreger den potentielle involvering af nationalstatsaktører i disse sofistikerede og målrettede cyberoperationer.
