SPECTRALVIPER Pahavara
Vietnami avalik-õiguslikud ettevõtted on muutunud keeruka rünnaku sihtmärgiks, kasutades äsja tuvastatud tagaust nimega SPECTRALVIPER. SPECTRALVIPER on täiustatud x64 tagauks, mis on tugevalt hägune ja mida varem ei avalikustatud. Sellel ähvardaval tööriistal on mitmesugused võimalused, sealhulgas PE laadimine ja süstimine, failide üles- ja allalaadimine, failide ja kataloogidega manipuleerimine ning sümboolne esinemine.
Rünnakute taga seisev ohutegureid tuvastati ja jälgiti kui REF2754. See näitleja on seotud Vietnami ohurühmaga, mida tuntakse mitme nime all, sealhulgas APT32 , Canvas Cyclone (endine Bismuth), Cobalt Kitty ja OceanLotus. See viitab seosele käimasoleva kampaania ja selle ohurühma tegevuse vahel.
Sisukord
SPECTRALVIPER on kasutusele võetud teiste pahavaraohtude kõrval
Ohtlikud tegevused hõlmavad SysInternals ProcDump utiliidi kasutamist, et hõlbustada DONUTLOADERit sisaldava allkirjastamata DLL-faili laadimist. See laadija on spetsiaalselt konfigureeritud laadima SPECTRALVIPERit koos teiste pahavara variantidega, nagu P8LOADER ja POWERSEAL.
Pärast laadimist loob SPECTRALVIPER side serveriga, mida kontrollib ohutegija. See jääb puhkeolekusse ja ootab edasisi juhiseid. Analüüsist kõrvalehoidmiseks kasutab SPECTRALVIPER hägustamise tehnikaid, nagu juhtvoo tasandamine, muutes selle funktsionaalsuse dešifreerimise keerulisemaks.
P8LOADER, mis on kirjutatud C++ keeles, suudab käivitada suvalisi kasulikke koormusi kas failist või otse mälust. Lisaks kasutavad ohus osalejad kohandatud PowerShelli jooksjat POWERSEAL, mis on spetsialiseerunud kaasasolevate PowerShelli skriptide või käskude täitmisele.
SPECTRALVIPERis on leitud mitu ähvardamisvõimet
SPECTRALVIPERil on mitmeid võimalusi, mis aitavad kaasa selle kahjulikele tegevustele. SPECTRALVIPER saab oma PE laadimise ja sisestamise funktsiooniga laadida ja sisestada käivitatavaid faile, toetades nii x86 kui ka x64 arhitektuuri. See funktsioon võimaldab pahavaral käivitada seaduslike protsesside raames halba koodi, maskeerides tõhusalt oma tegevusi ja hoidudes tuvastamisest.
Teine tähelepanuväärne SPECTRALVIPER-i võime on selle võime kehastada turvamärke. Nende märkidena esinedes võib pahavara omandada kõrgemaid õigusi, hoides kõrvale teatud kehtivatest turvameetmetest. See volitamata juurdepääs annab ründajale võimaluse manipuleerida tundlike ressurssidega ja teha toiminguid väljaspool nende volitatud ulatust.
Lisaks on SPECTRALVIPERil võimalus alla laadida ja üles laadida faile ohustatud süsteemist ja süsteemist. See funktsioon võimaldab ründajal väljafiltreerida tundlikke andmeid ohvri masinast või edastada täiendavaid pahatahtlikke koormusi, laiendades nende kontrolli ja püsivust ohustatud keskkonnas.
Lisaks saab tagauks manipuleerida kahjustatud süsteemi failide ja kataloogidega. See hõlmab failide või kataloogide loomist, kustutamist, muutmist ja teisaldamist. Ohvri failisüsteemi üle kontrolli teostades omandab ründaja ulatuslikud volitused failide ja kataloogidega manipuleerimiseks ja nende eesmärkide saavutamiseks.
Need võimalused aitavad ühiselt kaasa SPECTRALVIPERi ohule, võimaldades ründajal sooritada mitmesuguseid ohtlikke tegevusi, säilitades samas püsivuse ja kontrolli ohustatud süsteemi üle.
Võimalik ühendus teiste küberkurjategijate rühmitustega
Nimelt on REF2754-ga seotud tegevused taktikalised sarnasused teise ohurühmaga, mida nimetatakse REF4322-ks. Viimane rühm on tuntud selle poolest, et sihib peamiselt Vietnami üksusi ja kasutab ärakasutamisjärgset implantaati, mida tuntakse PHOREALi (tuntud ka kui Rizzo).
Need seosed on viinud hüpoteesini, et nii REF4322 kui ka REF2754 tegevusrühmad võivad esindada koordineeritud kampaaniaid, mille on korraldanud riigiga seotud Vietnami ohuüksus. Selle võimaluse tagajärjed rõhutavad rahvusriikide osalejate potentsiaalset kaasamist nendesse keerukatesse ja sihipärastesse küberoperatsioonidesse.
