SPECTRALVIPER Malware
A vietnami állami vállalatok egy kifinomult támadás célpontjaivá váltak, egy újonnan azonosított SPECTRALVIPER nevű hátsó ajtót használva. A SPECTRALVIPER egy fejlett x64-es hátsó ajtó, amely erősen homályos, és korábban nem hozták nyilvánosságra. Ez a fenyegető eszköz különféle képességekkel rendelkezik, beleértve a PE-betöltést és -befecskendezést, a fájl-feltöltést és -letöltést, a fájl- és könyvtárkezelést, valamint a token megszemélyesítését.
A támadások mögött meghúzódó fenyegetés szereplőjét REF2754 néven azonosították és követték nyomon. Ez a színész egy több néven ismert vietnami fenyegető csoporthoz kapcsolódik, köztük az APT32 , a Canvas Cyclone (korábbi nevén Bismuth), a Cobalt Kitty és az OceanLotus. Ez összefüggésre utal a folyamatban lévő kampány és e fenyegető csoport tevékenysége között.
Tartalomjegyzék
A SPECTRALVIPER más rosszindulatú programok mellett kerül telepítésre
A fenyegető tevékenységek közé tartozik a SysInternals ProcDump segédprogram használata, amely megkönnyíti a DONUTLOADER-t tartalmazó, aláíratlan DLL-fájl betöltését. Ez a betöltő kifejezetten a SPECTRALVIPER betöltésére van beállítva, más rosszindulatú programváltozatok mellett, mint például a P8LOADER és a POWERSEAL.
A SPECTRALVIPER betöltése után kommunikációt létesít a fenyegetés szereplője által irányított szerverrel. Alvó állapotban marad, további utasításokra vár. Az elemzés elkerülése érdekében a SPECTRALVIPER olyan elhomályosító technikákat alkalmaz, mint a vezérlési áramlás egyengetése, ami még nagyobb kihívást jelent a funkcióinak megfejtése.
A C++ nyelven írt P8LOADER tetszőleges hasznos terhelések végrehajtására képes, akár fájlból, akár közvetlenül a memóriából. Ezenkívül a fenyegetés szereplői egy testreszabott POWERSEAL nevű PowerShell-futót alkalmaznak, amely a mellékelt PowerShell-szkriptek vagy -parancsok végrehajtására specializálódott.
Többféle fenyegető képesség található a SPECTRALVIPER-ben
A SPECTRALVIPER számos olyan képességgel rendelkezik, amelyek hozzájárulnak káros tevékenységeihez. A PE betöltési és beillesztési funkciójával a SPECTRALVIPER képes betölteni és beilleszteni futtatható fájlokat, támogatva az x86 és x64 architektúrákat. Ez a funkció lehetővé teszi a rosszindulatú programok számára, hogy hibás kódot hajtsanak végre a törvényes folyamatokon belül, hatékonyan álcázva tevékenységeit és elkerülve az észlelést.
A SPECTRALVIPER másik figyelemre méltó képessége a biztonsági tokenek megszemélyesítésére való képessége. E tokenek megszemélyesítésével a rosszindulatú program magasabb jogosultságokat szerezhet, megkerülve bizonyos biztonsági intézkedéseket. Ez a jogosulatlan hozzáférés lehetővé teszi a támadó számára, hogy manipulálja az érzékeny erőforrásokat, és az engedélyezett hatókörükön túlmutató műveleteket hajtson végre.
Ezenkívül a SPECTRALVIPER képes letölteni és feltölteni fájlokat a feltört rendszerbe és onnan. Ez a funkció lehetővé teszi a támadó számára, hogy kiszűrje az érzékeny adatokat az áldozat gépéről, vagy további rosszindulatú rakományokat szállítson, kibővítve ellenőrzésüket és kitartásukat a feltört környezetben.
Ezenkívül a hátsó ajtó manipulálhatja a feltört rendszeren lévő fájlokat és könyvtárakat. Ez magában foglalja a fájlok vagy könyvtárak létrehozását, törlését, módosítását és áthelyezését. Az áldozat fájlrendszere feletti ellenőrzés gyakorlásával a támadó kiterjedt felhatalmazást kap a fájlok és könyvtárak céljainak megfelelő manipulálására és manipulálására.
Ezek a képességek együttesen hozzájárulnak a SPECTRALVIPER által jelentett fenyegetéshez, lehetővé téve a támadó számára, hogy különféle nem biztonságos tevékenységeket hajtson végre, miközben megőrzi a kitartást és az irányítást a feltört rendszer felett.
Lehetséges kapcsolat más kiberbűnözői csoportokkal
Nevezetesen, a REF2754-hez kapcsolódó tevékenységek taktikai hasonlóságot mutatnak egy másik, REF4322 néven emlegetett fenyegetéscsoporttal. Ez utóbbi csoport arról ismert, hogy elsősorban vietnami entitásokat céloz meg, és egy PHOREAL (más néven Rizzo) néven ismert kizsákmányolás utáni implantátumot telepít.
Ezek az összefüggések ahhoz a hipotézishez vezettek, hogy mind a REF4322, mind a REF2754 tevékenységcsoportok koordinált kampányokat képviselhetnek, amelyeket egy, az állammal kapcsolatban álló vietnami fenyegetettség szervezet irányít. Ennek a lehetőségnek a következményei aláhúzzák a nemzetállami szereplők lehetséges részvételét ezekben a kifinomult és célzott kiberműveletekben.
