بدافزار SPECTRALVIPER
شرکتهای دولتی ویتنامی با استفاده از یک درب پشتی تازه شناسایی شده به نام SPECTRALVIPER، به هدف یک حمله پیچیده تبدیل شدهاند. SPECTRALVIPER یک درب پشتی پیشرفته x64 است که به شدت مبهم است و قبلاً فاش نشده بود. این ابزار تهدید کننده دارای قابلیت های مختلفی از جمله بارگذاری و تزریق PE، آپلود و دانلود فایل، دستکاری فایل و دایرکتوری و همچنین جعل هویت توکن است.
عامل تهدید پشت این حملات با نام REF2754 شناسایی و ردیابی شده است. این بازیگر با یک گروه تهدید ویتنامی که با نامهای متعددی از جمله APT32 ، Canvas Cyclone (بیسموت سابق)، Cobalt Kitty و OceanLotus شناخته میشوند، مرتبط است. این نشان دهنده ارتباط بین کمپین در حال انجام و فعالیت های این گروه تهدید است.
فهرست مطالب
SPECTRALVIPER در کنار سایر تهدیدات بدافزار مستقر شده است
فعالیت های تهدیدآمیز شامل استفاده از ابزار SysInternals ProcDump برای تسهیل بارگیری یک فایل DLL بدون امضا حاوی DONUTLOADER است. این لودر به طور خاص برای بارگیری SPECTRALVIPER، در کنار انواع بدافزارهای دیگر، مانند P8LOADER و POWERSEAL پیکربندی شده است.
SPECTRALVIPER، پس از بارگیری، با سروری که توسط عامل تهدید کنترل می شود، ارتباط برقرار می کند. در حالت خاموش باقی می ماند و منتظر دستورالعمل های بعدی است. برای فرار از تجزیه و تحلیل، SPECTRALVIPER از تکنیک های مبهم سازی مانند صاف کردن جریان کنترلی استفاده می کند که رمزگشایی عملکرد آن را چالش برانگیزتر می کند.
P8LOADER که به زبان C++ نوشته شده است، دارای قابلیت اجرای بارهای دلخواه، چه از یک فایل و چه به طور مستقیم از حافظه است. علاوه بر این، عوامل تهدید از یک اجرا کننده PowerShell سفارشی به نام POWERSEAL استفاده می کنند که در اجرای دستورات یا اسکریپت های PowerShell ارائه شده تخصص دارد.
چندین قابلیت تهدید کننده در SPECTRALVIPER یافت شد
SPECTRALVIPER طیف وسیعی از قابلیت ها را به نمایش می گذارد که به فعالیت های مضر آن کمک می کند. با قابلیت بارگذاری و تزریق PE، SPECTRALVIPER می تواند فایل های اجرایی را بارگیری و تزریق کند و از معماری های x86 و x64 پشتیبانی کند. این ویژگی بدافزار را قادر میسازد تا کد بدی را در فرآیندهای قانونی اجرا کند و به طور موثر فعالیتهای خود را استتار کند و از شناسایی فرار کند.
یکی دیگر از قابلیت های قابل توجه SPECTRALVIPER توانایی آن در جعل هویت توکن های امنیتی است. با جعل هویت این توکنها، بدافزار میتواند امتیازات بالایی را به دست آورد و اقدامات امنیتی خاصی را دور بزند. این دسترسی غیرمجاز به مهاجم این امکان را می دهد که منابع حساس را دستکاری کند و اقداماتی را خارج از محدوده مجاز خود انجام دهد.
علاوه بر این، SPECTRALVIPER دارای قابلیت دانلود و آپلود فایل ها به و از سیستم در معرض خطر است. این قابلیت به مهاجم اجازه می دهد تا داده های حساس را از دستگاه قربانی استخراج کند یا محموله های مخرب اضافی را تحویل دهد و کنترل و تداوم آنها را در محیط در معرض خطر گسترش دهد.
علاوه بر این، Backdoor میتواند فایلها و دایرکتوریهای موجود در سیستم در معرض خطر را دستکاری کند. این شامل ایجاد، حذف، اصلاح و انتقال فایل ها یا دایرکتوری ها می شود. با اعمال کنترل بر سیستم فایل قربانی، مهاجم قدرت گسترده ای برای دستکاری و دستکاری فایل ها و دایرکتوری ها به منظور مطابقت با اهداف خود به دست می آورد.
این قابلیت ها در مجموع به تهدید ناشی از SPECTRALVIPER کمک می کند و مهاجم را قادر می سازد تا فعالیت های مختلف ناامن را انجام دهد و در عین حال تداوم و کنترل سیستم در معرض خطر را حفظ کند.
ارتباط بالقوه با سایر گروه های مجرم سایبری
قابل توجه، فعالیت های مرتبط با REF2754 شباهت های تاکتیکی با گروه تهدید دیگری به نام REF4322 نشان می دهد. گروه دوم به دلیل هدف قرار دادن نهادهای ویتنامی و استقرار یک ایمپلنت پس از بهره برداری معروف به PHOREAL (همچنین به عنوان Rizzo) شناخته شده است.
این ارتباطات منجر به این فرضیه شده است که هر دو گروه فعالیت REF4322 و REF2754 ممکن است کمپین های هماهنگ شده توسط یک نهاد تهدید ویتنامی وابسته به ایالت را نشان دهند. پیامدهای این امکان بر مشارکت بالقوه بازیگران دولت-ملت در این عملیات سایبری پیچیده و هدفمند تأکید می کند.
