SPECTRALVIPER Malware
Le società pubbliche vietnamite sono diventate l'obiettivo di un attacco sofisticato che utilizza una backdoor recentemente identificata chiamata SPECTRALVIPER. SPECTRALVIPER è una backdoor x64 avanzata che è fortemente offuscata e precedentemente non divulgata. Questo strumento minaccioso possiede varie funzionalità, tra cui il caricamento e l'iniezione di PE, il caricamento e il download di file, la manipolazione di file e directory, nonché la rappresentazione di token.
L'autore della minaccia dietro questi attacchi è stato identificato e monitorato come REF2754. Questo attore è associato a un gruppo di minacce vietnamite noto con più nomi, tra cui APT32 , Canvas Cyclone (ex Bismuth), Cobalt Kitty e OceanLotus. Ciò suggerisce una connessione tra la campagna in corso e le attività di questo gruppo di minacce.
Sommario
SPECTRALVIPER viene implementato insieme ad altre minacce malware
Le attività minacciose comportano l'utilizzo dell'utilità SysInternals ProcDump per facilitare il caricamento di un file DLL non firmato contenente il DONUTLOADER. Questo caricatore è specificamente configurato per caricare SPECTRALVIPER, insieme ad altre varianti di malware, come P8LOADER e POWERSEAL.
SPECTRALVIPER, una volta caricato, stabilisce la comunicazione con un server controllato dall'attore della minaccia. Rimane in uno stato dormiente, in attesa di ulteriori istruzioni. Per eludere l'analisi, SPECTRALVIPER impiega tecniche di offuscamento come l'appiattimento del flusso di controllo, rendendo più difficile decifrare la sua funzionalità.
P8LOADER, scritto in C++, possiede la capacità di eseguire payload arbitrari, da un file o direttamente dalla memoria. Inoltre, gli autori delle minacce impiegano un programma di esecuzione personalizzato di PowerShell chiamato POWERSEAL, specializzato nell'esecuzione di script o comandi PowerShell forniti.
Molteplici capacità minacciose trovate in SPECTRALVIPER
SPECTRALVIPER mostra una serie di capacità che contribuiscono alle sue attività dannose. Con la sua funzionalità di caricamento e iniezione PE, SPECTRALVIPER può caricare e iniettare file eseguibili, supportando entrambe le architetture x86 e x64. Questa funzione consente al malware di eseguire un codice errato all'interno di processi legittimi, camuffando efficacemente le sue attività ed eludendo il rilevamento.
Un'altra capacità degna di nota di SPECTRALVIPER è la sua capacità di impersonare token di sicurezza. Impersonando questi token, il malware può acquisire privilegi elevati, eludendo determinate misure di sicurezza in atto. Questo accesso non autorizzato garantisce all'aggressore la possibilità di manipolare risorse sensibili e di eseguire azioni oltre il proprio ambito autorizzato.
Inoltre, SPECTRALVIPER possiede la capacità di scaricare e caricare file da e verso il sistema compromesso. Questa funzionalità consente all'attaccante di esfiltrare i dati sensibili dalla macchina della vittima o fornire ulteriori payload dannosi, espandendo il controllo e la persistenza all'interno dell'ambiente compromesso.
Inoltre, la backdoor può manipolare file e directory sul sistema compromesso. Ciò include la creazione, l'eliminazione, la modifica e lo spostamento di file o directory. Esercitando il controllo sul file system della vittima, l'attaccante ottiene un'ampia autorità per manipolare e manipolare i file e le directory per soddisfare i propri obiettivi.
Queste funzionalità contribuiscono collettivamente alla minaccia rappresentata da SPECTRALVIPER, consentendo all'attaccante di eseguire varie attività non sicure mantenendo la persistenza e il controllo sul sistema compromesso.
Potenziale connessione ad altri gruppi di criminali informatici
In particolare, le attività associate a REF2754 mostrano somiglianze tattiche con un altro gruppo di minacce denominato REF4322. Quest'ultimo gruppo è noto per aver preso di mira principalmente entità vietnamite e aver distribuito un impianto post-sfruttamento noto come PHOREAL (noto anche come Rizzo).
Queste connessioni hanno portato all'ipotesi che entrambi i gruppi di attività REF4322 e REF2754 possano rappresentare campagne coordinate orchestrate da un'entità di minaccia vietnamita affiliata allo stato. Le implicazioni di questa possibilità sottolineano il potenziale coinvolgimento degli attori dello stato-nazione in queste sofisticate e mirate operazioni informatiche.
