SPECTRALVIPER תוכנה זדונית
חברות ציבוריות וייטנאמיות הפכו למטרות למתקפה מתוחכמת תוך שימוש בדלת אחורית שזוהתה לאחרונה בשם SPECTRALVIPER. SPECTRALVIPER היא דלת אחורית מתקדמת של x64, שהייתה מעורפלת מאוד, ולא נחשפה בעבר. לכלי מאיים זה יש יכולות שונות, כולל טעינת והזרקת PE, העלאה והורדה של קבצים, מניפולציה של קבצים וספריות, כמו גם התחזות לאסימונים.
גורם האיום מאחורי התקפות אלה זוהה ומעקב כ-REF2754. שחקן זה קשור לקבוצת איומים וייטנאמית הידועה במספר שמות, כולל APT32 , Canvas Cyclone (לשעבר Bismuth), Cobalt Kitty ו-OceanLotus. הדבר מעיד על קשר בין המערכה המתמשכת לבין הפעילות של קבוצת איום זו.
תוכן העניינים
SPECTRALVIPER נפרס לצד איומי תוכנה זדונית אחרים
הפעילויות המאיימות כוללות שימוש בכלי השירות SysInternals ProcDump כדי להקל על טעינת קובץ DLL לא חתום המכיל את DONUTLOADER. מטעין זה מוגדר במיוחד לטעון SPECTRALVIPER, לצד גרסאות תוכנות זדוניות אחרות, כגון P8LOADER ו-POWERSEAL.
SPECTRALVIPER, לאחר הטעינה, יוצר תקשורת עם שרת הנשלט על ידי שחקן האיום. הוא נשאר במצב רדום, ממתין להנחיות נוספות. כדי להתחמק מניתוח, SPECTRALVIPER משתמש בטכניקות ערפול כמו שיטוח זרימת בקרה, מה שהופך את זה למאתגר יותר לפענח את הפונקציונליות שלו.
ל-P8LOADER, שנכתב ב-C++, יש את היכולת לבצע עומסים שרירותיים, בין אם מקובץ או ישירות מהזיכרון. בנוסף, גורמי האיום מעסיקים רץ PowerShell מותאם אישית בשם POWERSEAL, המתמחה בביצוע סקריפטים או פקודות PowerShell שסופקו.
יכולות מאיימות מרובות נמצאו ב-SPECTRALVIPER
SPECTRALVIPER מציגה מגוון של יכולות התורמות לפעילויות המזיקות שלה. עם פונקציונליות הטעינה וההזרקה של PE, SPECTRALVIPER יכול לטעון ולהזרים קבצי הפעלה, התומכים בארכיטקטורות x86 ו-x64. תכונה זו מאפשרת לתוכנה הזדונית להפעיל קוד גרוע בתוך תהליכים לגיטימיים, להסוות ביעילות את פעילותה ולהתחמק מזיהוי.
עוד יכולת ראויה לציון של SPECTRALVIPER היא היכולת שלו להתחזות לאסימוני אבטחה. על ידי התחזות לאסימונים אלה, התוכנה הזדונית יכולה לרכוש הרשאות מוגברות, ולעקוף אמצעי אבטחה מסוימים במקום. גישה בלתי מורשית זו מעניקה לתוקף את היכולת לתמרן משאבים רגישים ולבצע פעולות מעבר להיקף המורשה שלהם.
יתרה מזאת, ל-SPECTRALVIPER יש את היכולת להוריד ולהעלות קבצים למערכת שנפרצה וממנה. פונקציונליות זו מאפשרת לתוקף לחלץ נתונים רגישים מהמחשב של הקורבן או לספק מטענים זדוניים נוספים, ולהרחיב את השליטה וההתמדה שלהם בתוך הסביבה הנפגעת.
בנוסף, הדלת האחורית יכולה לתפעל קבצים וספריות במערכת שנפרצה. זה כולל יצירה, מחיקה, שינוי והעברה של קבצים או ספריות. על ידי הפעלת שליטה על מערכת הקבצים של הקורבן, התוקף מקבל סמכות נרחבת לתמרן ולתפעל את הקבצים והספריות כך שיתאימו למטרותיהם.
יכולות אלו תורמות ביחד לאיום הנשקף מ-SPECTRALVIPER, ומאפשרות לתוקף לבצע פעילויות לא בטוחות שונות תוך שמירה על התמדה ושליטה על המערכת שנפרצה.
חיבור פוטנציאלי לקבוצות אחרות של פושעי סייבר
יש לציין כי הפעילויות הקשורות ל-REF2754 מציגות קווי דמיון טקטיים עם קבוצת איומים אחרת המכונה REF4322. הקבוצה האחרונה ידועה בכך שהיא מכוונת בעיקר לגופים וייטנאמיים ופריסה של שתל לאחר ניצול המכונה PHOREAL (הידוע גם בשם Rizzo).
קשרים אלו הובילו להשערה כי גם קבוצות פעילות REF4322 וגם REF2754 עשויות לייצג קמפיינים מתואמים המתוזמרים על ידי ישות איום וייטנאמית המזוהה עם המדינה. ההשלכות של אפשרות זו מדגישות את המעורבות הפוטנציאלית של גורמי מדינת לאום בפעולות סייבר מתוחכמות וממוקדות אלו.
