Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Κακόβουλο λογισμικό SPECTRALVIPER

Κακόβουλο λογισμικό SPECTRALVIPER

Μέχρι το Mezo το Malware, Backdoors
Μετάφραση σε:
Ελληνικά

Οι δημόσιες εταιρείες του Βιετνάμ έχουν γίνει στόχοι μιας εξελιγμένης επίθεσης που χρησιμοποιεί μια νέα κερκόπορτα που ονομάζεται SPECTRALVIPER. Το SPECTRALVIPER είναι μια προηγμένη κερκόπορτα x64 που είναι πολύ ασαφής και δεν είχε αποκαλυφθεί προηγουμένως. Αυτό το απειλητικό εργαλείο διαθέτει διάφορες δυνατότητες, όπως φόρτωση και έγχυση PE, μεταφόρτωση και λήψη αρχείων, χειραγώγηση αρχείων και καταλόγου, καθώς και πλαστοπροσωπία διακριτικών.

Ο παράγοντας απειλής πίσω από αυτές τις επιθέσεις έχει αναγνωριστεί και εντοπιστεί ως REF2754. Αυτός ο ηθοποιός σχετίζεται με μια βιετναμέζικη ομάδα απειλών γνωστή με πολλά ονόματα, όπως APT32 , Canvas Cyclone (πρώην Βισμούθιο), Cobalt Kitty και OceanLotus. Αυτό υποδηλώνει μια σύνδεση μεταξύ της συνεχιζόμενης εκστρατείας και των δραστηριοτήτων αυτής της ομάδας απειλών.

Το SPECTRALVIPER αναπτύσσεται παράλληλα με άλλες απειλές κακόβουλου λογισμικού

Οι απειλητικές δραστηριότητες περιλαμβάνουν τη χρήση του βοηθητικού προγράμματος SysInternals ProcDump για τη διευκόλυνση της φόρτωσης ενός ανυπόγραφου αρχείου DLL που περιέχει το DONUTLOADER. Αυτός ο φορτωτής έχει ρυθμιστεί ειδικά για να φορτώνει το SPECTRALVIPER, μαζί με άλλες παραλλαγές κακόβουλου λογισμικού, όπως το P8LOADER και το POWERSEAL.

Το SPECTRALVIPER, μόλις φορτωθεί, δημιουργεί επικοινωνία με έναν διακομιστή που ελέγχεται από τον παράγοντα απειλής. Παραμένει σε αδρανή κατάσταση, αναμένοντας περαιτέρω οδηγίες. Για να αποφύγει την ανάλυση, το SPECTRALVIPER χρησιμοποιεί τεχνικές συσκότισης όπως η ισοπέδωση ροής ελέγχου, καθιστώντας πιο δύσκολη την αποκρυπτογράφηση της λειτουργικότητάς του.

Το P8LOADER, γραμμένο σε C++, διαθέτει τη δυνατότητα να εκτελεί αυθαίρετα ωφέλιμα φορτία, είτε από ένα αρχείο είτε απευθείας από τη μνήμη. Επιπλέον, οι φορείς απειλών χρησιμοποιούν έναν προσαρμοσμένο πρόγραμμα εκτέλεσης PowerShell που ονομάζεται POWERSEAL, ο οποίος ειδικεύεται στην εκτέλεση παρεχόμενων σεναρίων ή εντολών του PowerShell.

Βρέθηκαν πολλαπλές απειλητικές δυνατότητες στο SPECTRALVIPER

Το SPECTRALVIPER παρουσιάζει μια σειρά δυνατοτήτων που συμβάλλουν στις επιβλαβείς δραστηριότητές του. Με τη λειτουργία φόρτωσης και έγχυσης PE, το SPECTRALVIPER μπορεί να φορτώσει και να εισάγει εκτελέσιμα αρχεία, υποστηρίζοντας τόσο τις αρχιτεκτονικές x86 όσο και x64. Αυτή η δυνατότητα επιτρέπει στο κακόβουλο λογισμικό να εκτελέσει έναν κακό κώδικα μέσα σε νόμιμες διαδικασίες, καμουφλάροντας αποτελεσματικά τις δραστηριότητές του και αποφεύγοντας τον εντοπισμό.

Μια άλλη αξιοσημείωτη ικανότητα του SPECTRALVIPER είναι η ικανότητά του να υποδύεται τα διακριτικά ασφαλείας. Με την πλαστοπροσωπία αυτών των διακριτικών, το κακόβουλο λογισμικό μπορεί να αποκτήσει αυξημένα προνόμια, παρακάμπτοντας ορισμένα ισχύοντα μέτρα ασφαλείας. Αυτή η μη εξουσιοδοτημένη πρόσβαση παρέχει στον εισβολέα τη δυνατότητα να χειριστεί ευαίσθητους πόρους και να πραγματοποιήσει ενέργειες πέρα από το εξουσιοδοτημένο πεδίο εφαρμογής τους.

Επιπλέον, το SPECTRALVIPER διαθέτει τη δυνατότητα λήψης και αποστολής αρχείων προς και από το παραβιασμένο σύστημα. Αυτή η λειτουργία επιτρέπει στον εισβολέα να εκμεταλλεύεται ευαίσθητα δεδομένα από το μηχάνημα του θύματος ή να παραδίδει πρόσθετα κακόβουλα ωφέλιμα φορτία, επεκτείνοντας τον έλεγχο και την επιμονή τους εντός του παραβιασμένου περιβάλλοντος.

Επιπλέον, η κερκόπορτα μπορεί να χειριστεί αρχεία και καταλόγους στο παραβιασμένο σύστημα. Αυτό περιλαμβάνει τη δημιουργία, τη διαγραφή, την τροποποίηση και τη μετακίνηση αρχείων ή καταλόγων. Ασκώντας έλεγχο στο σύστημα αρχείων του θύματος, ο εισβολέας αποκτά εκτεταμένη εξουσία να χειρίζεται και να χειρίζεται τα αρχεία και τους καταλόγους ώστε να ταιριάζουν με τους στόχους τους.

Αυτές οι δυνατότητες συμβάλλουν συλλογικά στην απειλή που θέτει το SPECTRALVIPER, επιτρέποντας στον εισβολέα να εκτελέσει διάφορες μη ασφαλείς δραστηριότητες διατηρώντας παράλληλα την επιμονή και τον έλεγχο του παραβιασμένου συστήματος.

Πιθανή σύνδεση με άλλες ομάδες κυβερνοεγκληματιών

Συγκεκριμένα, οι δραστηριότητες που σχετίζονται με το REF2754 παρουσιάζουν τακτικές ομοιότητες με μια άλλη ομάδα απειλών που αναφέρεται ως REF4322. Η τελευταία ομάδα είναι γνωστή για το ότι στοχεύει κυρίως βιετναμέζικες οντότητες και αναπτύσσει ένα εμφύτευμα μετά την εκμετάλλευση, γνωστό ως PHOREAL (επίσης γνωστό ως Rizzo).

Αυτές οι συνδέσεις οδήγησαν στην υπόθεση ότι και οι δύο ομάδες δραστηριοτήτων REF4322 και REF2754 μπορεί να αντιπροσωπεύουν συντονισμένες εκστρατείες που ενορχηστρώνονται από μια βιετναμέζικη οντότητα απειλής που συνδέεται με το κράτος. Οι συνέπειες αυτής της δυνατότητας υπογραμμίζουν την πιθανή εμπλοκή των φορέων των εθνικών κρατών σε αυτές τις εξελιγμένες και στοχευμένες επιχειρήσεις στον κυβερνοχώρο.

 

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...