SPECTRALVIPER Malware

वियतनामी सार्वजनिक कंपनियाँ SPECTRALVIPER नामक एक नए पहचाने गए पिछले दरवाजे का उपयोग करते हुए एक परिष्कृत हमले का लक्ष्य बन गई हैं। SPECTRALVIPER एक उन्नत x64 बैकडोर है जो काफी उलझा हुआ है और पहले अज्ञात था। इस धमकी देने वाले टूल में पीई लोडिंग और इंजेक्शन, फ़ाइल अपलोड और डाउनलोड, फ़ाइल और निर्देशिका हेरफेर, साथ ही टोकन प्रतिरूपण सहित विभिन्न क्षमताएं हैं।

इन हमलों के पीछे खतरे के कारक की पहचान की गई है और REF2754 के रूप में ट्रैक किया गया है। यह अभिनेता APT32 , कैनवस साइक्लोन (पूर्व में बिस्मथ), कोबाल्ट किट्टी और ओशन लोटस सहित कई नामों से जाने जाने वाले एक वियतनामी थ्रेट ग्रुप से जुड़ा है। यह चल रहे अभियान और इस खतरे वाले समूह की गतिविधियों के बीच संबंध का सुझाव देता है।

SPECTRALVIPER को अन्य मैलवेयर खतरों के साथ तैनात किया गया है

धमकी देने वाली गतिविधियों में डोनटलोडर वाली अहस्ताक्षरित DLL फ़ाइल को लोड करने की सुविधा के लिए SysInternals ProcDump उपयोगिता का उपयोग शामिल है। यह लोडर विशेष रूप से P8LOADER और POWERSEAL जैसे अन्य मैलवेयर प्रकारों के साथ-साथ SPECTRALVIPER को लोड करने के लिए कॉन्फ़िगर किया गया है।

SPECTRALVIPER, एक बार लोड होने के बाद, खतरे के अभिनेता द्वारा नियंत्रित सर्वर के साथ संचार स्थापित करता है। यह अगले निर्देशों की प्रतीक्षा में सुप्त अवस्था में रहता है। विश्लेषण से बचने के लिए, SPECTRALVIPER नियंत्रण प्रवाह चपटेपन जैसी अस्पष्ट तकनीकों को नियोजित करता है, जिससे इसकी कार्यक्षमता को समझना अधिक चुनौतीपूर्ण हो जाता है।

P8LOADER, C++ में लिखा गया है, या तो किसी फ़ाइल से या सीधे मेमोरी से मनमाने पेलोड को निष्पादित करने की क्षमता रखता है। इसके अतिरिक्त, थ्रेट एक्टर्स एक कस्टमाइज्ड पॉवरशेल रनर को नियुक्त करते हैं, जिसे पॉवर्सियल कहा जाता है, जो आपूर्ति की गई पॉवरशेल स्क्रिप्ट या कमांड को निष्पादित करने में माहिर है।

स्पेक्ट्रलवाइपर में कई खतरनाक क्षमताएं मिलीं

SPECTRALVIPER कई तरह की क्षमताओं को प्रदर्शित करता है जो इसकी हानिकारक गतिविधियों में योगदान करती हैं। अपनी पीई लोडिंग और इंजेक्शन कार्यक्षमता के साथ, स्पेक्ट्रलवाइपर x86 और x64 आर्किटेक्चर दोनों का समर्थन करते हुए निष्पादन योग्य फ़ाइलों को लोड और इंजेक्ट कर सकता है। यह सुविधा मैलवेयर को वैध प्रक्रियाओं के भीतर एक खराब कोड निष्पादित करने में सक्षम बनाती है, प्रभावी ढंग से अपनी गतिविधियों को छिपाने और पहचान से बचने के लिए।

SPECTRALVIPER की एक अन्य उल्लेखनीय क्षमता इसकी सुरक्षा टोकनों को प्रतिरूपित करने की क्षमता है। इन टोकनों का प्रतिरूपण करके, मैलवेयर विशिष्ट सुरक्षा उपायों को दरकिनार करते हुए उन्नत विशेषाधिकार प्राप्त कर सकता है। यह अनधिकृत पहुंच हमलावर को संवेदनशील संसाधनों में हेरफेर करने और उनके अधिकृत दायरे से बाहर कार्रवाई करने की क्षमता प्रदान करती है।

इसके अलावा, SPECTRALVIPER के पास समझौता किए गए सिस्टम से फाइलों को डाउनलोड और अपलोड करने की क्षमता है। यह कार्यक्षमता हमलावर को पीड़ित की मशीन से संवेदनशील डेटा को बाहर निकालने या अतिरिक्त दुर्भावनापूर्ण पेलोड देने की अनुमति देती है, जिससे समझौता किए गए वातावरण में उनके नियंत्रण और दृढ़ता का विस्तार होता है।

इसके अलावा, पिछले दरवाजे समझौता किए गए सिस्टम पर फाइलों और निर्देशिकाओं में हेरफेर कर सकते हैं। इसमें फ़ाइलें या निर्देशिका बनाना, हटाना, संशोधित करना और स्थानांतरित करना शामिल है। पीड़ित के फाइल सिस्टम पर नियंत्रण का प्रयोग करके, हमलावर अपने उद्देश्यों के अनुरूप फाइलों और निर्देशिकाओं में हेरफेर और हेरफेर करने के लिए व्यापक अधिकार प्राप्त करता है।

ये क्षमताएँ सामूहिक रूप से SPECTRALVIPER द्वारा उत्पन्न खतरे में योगदान करती हैं, हमलावर को दृढ़ता बनाए रखते हुए और समझौता किए गए सिस्टम पर नियंत्रण बनाए रखते हुए विभिन्न असुरक्षित गतिविधियों को अंजाम देने में सक्षम बनाती हैं।

अन्य साइबर अपराधी समूहों से संभावित संबंध

विशेष रूप से, REF2754 से जुड़ी गतिविधियाँ REF4322 नामक एक अन्य खतरे वाले समूह के साथ सामरिक समानताएँ प्रदर्शित करती हैं। बाद वाला समूह मुख्य रूप से वियतनामी संस्थाओं को लक्षित करने और PHOREAL (जिसे रिज़ो के रूप में भी जाना जाता है) के रूप में जाना जाने वाले शोषण के बाद के प्रत्यारोपण को तैनात करने के लिए जाना जाता है।

इन कनेक्शनों ने परिकल्पना को जन्म दिया है कि REF4322 और REF2754 दोनों गतिविधि समूह राज्य से संबद्ध एक वियतनामी खतरे की इकाई द्वारा समन्वित अभियानों का प्रतिनिधित्व कर सकते हैं। इस संभावना के निहितार्थ इन परिष्कृत और लक्षित साइबर ऑपरेशनों में राष्ट्र-राज्य अभिनेताओं की संभावित भागीदारी को रेखांकित करते हैं।