SPECTRALVIPER Haittaohjelma
Vietnamilaisista julkisista yhtiöistä on tullut kehittyneen hyökkäyksen kohteeksi äskettäin tunnistettua takaovea nimeltä SPECTRALVIPER. SPECTRALVIPER on edistynyt x64-takaovi, joka on voimakkaasti hämärtynyt ja jota ei aiemmin julkistettu. Tällä uhkaavalla työkalulla on useita ominaisuuksia, kuten PE-lataus ja -injektio, tiedostojen lataaminen ja lataaminen, tiedostojen ja hakemistojen käsittely sekä tunnusten esiintyminen.
Näiden hyökkäysten takana oleva uhkatekijä on tunnistettu ja jäljitetty nimellä REF2754. Tämä näyttelijä liittyy vietnamilaiseen uhkaryhmään, joka tunnetaan useilla nimillä, mukaan lukien APT32 , Canvas Cyclone (entinen Bismuth), Cobalt Kitty ja OceanLotus. Tämä viittaa yhteyteen meneillään olevan kampanjan ja tämän uhkaryhmän toiminnan välillä.
Sisällysluettelo
SPECTRALVIPER on otettu käyttöön muiden haittaohjelmauhkien rinnalla
Uhkaisiin toimiin liittyy SysInternals ProcDump -apuohjelman käyttö DONUTLOADER-ohjelman sisältävän allekirjoittamattoman DLL-tiedoston lataamisen helpottamiseksi. Tämä latauslaite on erityisesti määritetty lataamaan SPECTRALVIPER muiden haittaohjelmaversioiden, kuten P8LOADER ja POWERSEAL, ohella.
SPECTRALVIPER, kun se on ladattu, muodostaa yhteyden uhkatekijän hallitseman palvelimen kanssa. Se jää lepotilaan odottamaan lisäohjeita. Analyysin välttämiseksi SPECTRALVIPER käyttää hämärätekniikoita, kuten ohjausvirtauksen tasoitusta, mikä tekee sen toiminnallisuuden tulkitsemisesta haastavampaa.
C++:lla kirjoitettu P8LOADER pystyy suorittamaan mielivaltaisia hyötykuormia joko tiedostosta tai suoraan muistista. Lisäksi uhkatoimijat käyttävät mukautettua PowerShell-apuohjelmaa nimeltä POWERSEAL, joka on erikoistunut toimitettujen PowerShell-komentosarjojen tai -komentojen suorittamiseen.
SPECTRALVIPERissä on useita uhkaavia ominaisuuksia
SPECTRALVIPERillä on useita ominaisuuksia, jotka edistävät sen haitallisia toimia. PE-lataus- ja injektiotoiminnallisuudellaan SPECTRALVIPER voi ladata ja lisätä suoritettavia tiedostoja, jotka tukevat sekä x86- että x64-arkkitehtuuria. Tämä ominaisuus mahdollistaa haittaohjelman suorittavan huonon koodin laillisissa prosesseissa, naamioimalla tehokkaasti toimintansa ja välttäen havaitsemisen.
Toinen SPECTRALVIPERin huomionarvoinen ominaisuus on sen kyky jäljitellä suojaustokeneita. Esiintymällä näillä tunnuksilla haittaohjelma voi hankkia korotettuja oikeuksia kiertämällä tietyt käytössä olevat suojatoimenpiteet. Tämä luvaton käyttö antaa hyökkääjälle mahdollisuuden manipuloida arkaluontoisia resursseja ja suorittaa toimintoja valtuutetun laajuuden ulkopuolella.
Lisäksi SPECTRALVIPER pystyy lataamaan ja lataamaan tiedostoja vaarantuneeseen järjestelmään ja sieltä pois. Tämän toiminnon avulla hyökkääjä voi suodattaa arkaluontoisia tietoja uhrin koneelta tai toimittaa lisää haitallisia hyötykuormia, mikä laajentaa heidän hallintaansa ja pysyvyyttä vaarantuneessa ympäristössä.
Lisäksi takaovi voi käsitellä vaarantuneen järjestelmän tiedostoja ja hakemistoja. Tämä sisältää tiedostojen tai hakemistojen luomisen, poistamisen, muokkaamisen ja siirtämisen. Ohjaamalla uhrin tiedostojärjestelmää hyökkääjä saa laajat valtuudet käsitellä ja käsitellä tiedostoja ja hakemistoja tavoitteidensa mukaisesti.
Nämä ominaisuudet yhdessä edistävät SPECTRALVIPERin aiheuttamaa uhkaa ja antavat hyökkääjälle mahdollisuuden suorittaa erilaisia vaarallisia toimintoja säilyttäen samalla sinnikkyyden ja hallinnan vaarantuneen järjestelmän suhteen.
Mahdollinen yhteys muihin kyberrikollisryhmiin
Erityisesti REF2754:ään liittyvissä toimissa on taktisia yhtäläisyyksiä toisen uhkaryhmän kanssa, jota kutsutaan nimellä REF4322. Jälkimmäinen ryhmä tunnetaan ensisijaisesti vietnamilaisten entiteettien kohdentamisesta ja PHOREAL-nimellä (tunnetaan myös nimellä Rizzo) tunnetun exploitation-istutteen käyttöönotosta.
Nämä yhteydet ovat johtaneet olettamukseen, että sekä REF4322- että REF2754-toimintaryhmät voivat edustaa koordinoituja kampanjoita, joita on organisoinut valtioon sidoksissa oleva vietnamilainen uhkayksikkö. Tämän mahdollisuuden vaikutukset korostavat kansallisvaltioiden toimijoiden mahdollista osallistumista näihin kehittyneisiin ja kohdennettuihin kyberoperaatioihin.
