SPECTRALVIPER Malware
Vijetnamske javne tvrtke postale su mete sofisticiranog napada koji koristi nedavno identificirana stražnja vrata pod nazivom SPECTRALVIPER. SPECTRALVIPER je napredni x64 backdoor koji je jako zamagljen i prethodno nije bio otkriven. Ovaj prijeteći alat posjeduje razne mogućnosti, uključujući učitavanje i ubacivanje PE-a, učitavanje i preuzimanje datoteka, manipulaciju datotekama i imenicima, kao i lažno predstavljanje tokena.
Prijetnja koja stoji iza ovih napada identificirana je i praćena kao REF2754. Ovaj glumac povezan je s vijetnamskom skupinom prijetnji poznatom pod više imena, uključujući APT32 , Canvas Cyclone (bivši Bismuth), Cobalt Kitty i OceanLotus. To sugerira vezu između kampanje koja je u tijeku i aktivnosti ove prijetnje skupine.
Sadržaj
SPECTRALVIPER je postavljen uz druge prijetnje zlonamjernim softverom
Prijeteće aktivnosti uključuju korištenje uslužnog programa SysInternals ProcDump za olakšavanje učitavanja nepotpisane DLL datoteke koja sadrži DONUTLOADER. Ovaj učitavač posebno je konfiguriran za učitavanje SPECTRALVIPER-a, uz druge varijante zlonamjernog softvera, kao što su P8LOADER i POWERSEAL.
SPECTRALVIPER, nakon učitavanja, uspostavlja komunikaciju s poslužiteljem kojim upravlja prijetnja. Ostaje u stanju mirovanja, čekajući daljnje upute. Kako bi izbjegao analizu, SPECTRALVIPER koristi tehnike zamagljivanja kao što je izravnavanje protoka kontrole, zbog čega je dešifriranje njegove funkcionalnosti teže.
P8LOADER, napisan u C++, posjeduje sposobnost izvršavanja proizvoljnih korisnih opterećenja, bilo iz datoteke ili izravno iz memorije. Osim toga, akteri prijetnji koriste prilagođeni pokretač PowerShell nazvan POWERSEAL, koji je specijaliziran za izvršavanje isporučenih PowerShell skripti ili naredbi.
Višestruke prijeteće sposobnosti pronađene u SPECTRALVIPERU
SPECTRALVIPER pokazuje niz mogućnosti koje pridonose njegovim štetnim aktivnostima. Sa svojom funkcionalnošću PE učitavanja i ubrizgavanja, SPECTRALVIPER može učitavati i ubacivati izvršne datoteke, podržavajući i x86 i x64 arhitekturu. Ova značajka omogućuje zlonamjernom softveru da izvrši loš kod unutar legitimnih procesa, učinkovito kamuflirajući svoje aktivnosti i izbjegavajući otkrivanje.
Još jedna značajna sposobnost SPECTRALVIPER-a je njegova sposobnost oponašanja sigurnosnih tokena. Oponašanjem ovih tokena, zlonamjerni softver može steći povećane privilegije, zaobilazeći određene sigurnosne mjere. Ovaj neovlašteni pristup daje napadaču mogućnost manipuliranja osjetljivim resursima i izvođenja radnji izvan njihovog ovlaštenog opsega.
Nadalje, SPECTRALVIPER posjeduje mogućnost preuzimanja i učitavanja datoteka na i iz ugroženog sustava. Ova funkcionalnost omogućuje napadaču eksfiltraciju osjetljivih podataka sa žrtvinog stroja ili isporuku dodatnih zlonamjernih korisnih opterećenja, proširujući njihovu kontrolu i postojanost unutar ugroženog okruženja.
Osim toga, backdoor može manipulirati datotekama i direktorijima na kompromitiranom sustavu. To uključuje stvaranje, brisanje, mijenjanje i premještanje datoteka ili direktorija. Ostvarivanjem kontrole nad žrtvinim datotečnim sustavom, napadač dobiva široke ovlasti za manipulaciju i manipulaciju datotekama i direktorijima kako bi odgovarali svojim ciljevima.
Ove sposobnosti zajednički doprinose prijetnji koju predstavlja SPECTRALVIPER, omogućujući napadaču izvršavanje raznih nesigurnih aktivnosti uz zadržavanje postojanosti i kontrole nad kompromitiranim sustavom.
Potencijalna povezanost s drugim skupinama kibernetičkog kriminala
Naime, aktivnosti povezane s REF2754 pokazuju taktičke sličnosti s drugom prijetnjom skupinom koja se naziva REF4322. Potonja skupina poznata je po prvenstveno ciljanju vijetnamskih entiteta i postavljanju implantata nakon eksploatacije poznatog kao PHOREAL (također poznat kao Rizzo).
Ove su veze dovele do hipoteze da obje skupine aktivnosti REF4322 i REF2754 mogu predstavljati koordinirane kampanje koje dirigira vijetnamski entitet prijetnje povezan s državom. Implikacije ove mogućnosti naglašavaju potencijalnu uključenost aktera iz nacionalne države u ove sofisticirane i ciljane cyber operacije.
