SPECTRALVIPER Malware
ក្រុមហ៊ុនសាធារណៈរបស់វៀតណាមបានក្លាយទៅជាគោលដៅនៃការវាយប្រហារដ៏ស្មុគ្រស្មាញដោយប្រើ backdoor ដែលទើបកំណត់អត្តសញ្ញាណថ្មីហៅថា SPECTRALVIPER។ SPECTRALVIPER គឺជា backdoor x64 កម្រិតខ្ពស់ ដែលមានភាពច្របូកច្របល់ខ្លាំង ហើយមិនត្រូវបានបង្ហាញពីមុនទេ។ ឧបករណ៍គំរាមកំហែងនេះមានសមត្ថភាពជាច្រើន រួមទាំងការផ្ទុក និងការចាក់ PE ការបង្ហោះ និងទាញយកឯកសារ ការរៀបចំឯកសារ និងថត ក៏ដូចជាការក្លែងបន្លំនិមិត្តសញ្ញា។
តួអង្គគំរាមកំហែងនៅពីក្រោយការវាយប្រហារទាំងនេះត្រូវបានកំណត់អត្តសញ្ញាណ និងតាមដានថាជា REF2754។ តារាសម្ដែងរូបនេះមានទំនាក់ទំនងជាមួយនឹងក្រុមគំរាមកំហែងរបស់វៀតណាមដែលមានឈ្មោះជាច្រើនរួមមាន APT32 , Canvas Cyclone (អតីត Bismuth), Cobalt Kitty និង OceanLotus។ នេះបង្ហាញពីទំនាក់ទំនងរវាងយុទ្ធនាការដែលកំពុងបន្ត និងសកម្មភាពរបស់ក្រុមគំរាមកំហែងនេះ។
តារាងមាតិកា
SPECTRALVIPER ត្រូវបានដាក់ឱ្យប្រើជាមួយនឹងការគំរាមកំហែងមេរោគផ្សេងទៀត
សកម្មភាពគំរាមកំហែងពាក់ព័ន្ធនឹងការប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ SysInternals ProcDump ដើម្បីជួយសម្រួលដល់ការផ្ទុកឯកសារ DLL ដែលមិនបានចុះហត្ថលេខាដែលមាន DONUTLOADER ។ កម្មវិធីផ្ទុកនេះត្រូវបានកំណត់រចនាសម្ព័ន្ធជាពិសេសដើម្បីផ្ទុក SPECTRALVIPER រួមជាមួយនឹងវ៉ារ្យ៉ង់មេរោគផ្សេងទៀតដូចជា P8LOADER និង POWERSEAL ។
SPECTRALVIPER ពេលដែលផ្ទុករួច បង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកគំរាមកំហែង។ វានៅតែស្ថិតក្នុងសភាពស្ងប់ស្ងាត់ ដោយរង់ចាំការណែនាំបន្ថែម។ ដើម្បីគេចចេញពីការវិភាគ SPECTRALVIPER ប្រើបច្ចេកទេសមិនច្បាស់លាស់ដូចជាការគ្រប់គ្រងលំហូររាបស្មើ ដែលធ្វើឱ្យវាកាន់តែពិបាកក្នុងការបកស្រាយមុខងាររបស់វា។
P8LOADER ដែលសរសេរក្នុង C++ មានសមត្ថភាពក្នុងការប្រតិបត្តិការផ្ទុកតាមអំពើចិត្ត ទាំងពីឯកសារ ឬដោយផ្ទាល់ពីអង្គចងចាំ។ លើសពីនេះ តួអង្គគំរាមកំហែងប្រើកម្មវិធីរត់ PowerShell ផ្ទាល់ខ្លួនដែលហៅថា POWERSEAL ដែលមានជំនាញក្នុងការប្រតិបត្តិស្គ្រីប ឬពាក្យបញ្ជាដែលបានផ្គត់ផ្គង់ PowerShell ។
សមត្ថភាពគំរាមកំហែងជាច្រើនត្រូវបានរកឃើញនៅក្នុង SPECTRALVIPER
SPECTRALVIPER បង្ហាញសមត្ថភាពជាច្រើនដែលរួមចំណែកដល់សកម្មភាពបង្កគ្រោះថ្នាក់របស់វា។ ជាមួយនឹងមុខងារផ្ទុក និងចាក់ PE របស់វា SPECTRALVIPER អាចផ្ទុក និងចាក់ឯកសារដែលអាចប្រតិបត្តិបាន ដោយគាំទ្រទាំងស្ថាបត្យកម្ម x86 និង x64 ។ មុខងារនេះអនុញ្ញាតឱ្យមេរោគដំណើរការកូដអាក្រក់នៅក្នុងដំណើរការស្របច្បាប់ ក្លែងបន្លំសកម្មភាពរបស់វាយ៉ាងមានប្រសិទ្ធភាព និងគេចពីការរកឃើញ។
សមត្ថភាពគួរឱ្យកត់សម្គាល់មួយទៀតរបស់ SPECTRALVIPER គឺសមត្ថភាពរបស់វាក្នុងការក្លែងបន្លំនិមិត្តសញ្ញាសុវត្ថិភាព។ តាមរយៈការក្លែងបន្លំនិមិត្តសញ្ញាទាំងនេះ មេរោគអាចទទួលបានសិទ្ធិខ្ពស់ ដោយជៀសផុតពីវិធានការសុវត្ថិភាពមួយចំនួន។ ការចូលប្រើដោយគ្មានការអនុញ្ញាតនេះផ្តល់ឱ្យអ្នកវាយប្រហារនូវសមត្ថភាពក្នុងការរៀបចំធនធានរសើប និងអនុវត្តសកម្មភាពលើសពីវិសាលភាពដែលបានអនុញ្ញាតរបស់ពួកគេ។
លើសពីនេះ SPECTRALVIPER មានសមត្ថភាពក្នុងការទាញយក និងបង្ហោះឯកសារទៅ និងពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ មុខងារនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដកទិន្នន័យរសើបចេញពីម៉ាស៊ីនរបស់ជនរងគ្រោះ ឬបញ្ជូនបន្ទុកព្យាបាទបន្ថែម ពង្រីកការគ្រប់គ្រង និងការតស៊ូរបស់ពួកគេនៅក្នុងបរិយាកាសដែលត្រូវបានសម្របសម្រួល។
លើសពីនេះទៀត backdoor អាចរៀបចំឯកសារ និងថតឯកសារនៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ នេះរួមបញ្ចូលទាំងការបង្កើត លុប កែប្រែ និងផ្លាស់ទីឯកសារ ឬថត។ តាមរយៈការអនុវត្តការគ្រប់គ្រងលើប្រព័ន្ធឯកសាររបស់ជនរងគ្រោះ អ្នកវាយប្រហារទទួលបានសិទ្ធិអំណាចយ៉ាងទូលំទូលាយក្នុងការរៀបចំ និងរៀបចំឯកសារ និងថតឯកសារឱ្យសមនឹងគោលបំណងរបស់ពួកគេ។
សមត្ថភាពទាំងនេះរួមរួមចំណែកដល់ការគំរាមកំហែងដែលបង្កឡើងដោយ SPECTRALVIPER ដែលអាចឱ្យអ្នកវាយប្រហារប្រតិបត្តិសកម្មភាពមិនមានសុវត្ថិភាពផ្សេងៗ ខណៈពេលដែលរក្សាការតស៊ូ និងការគ្រប់គ្រងលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
ការតភ្ជាប់សក្តានុពលទៅនឹងក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងទៀត។
គួរកត់សម្គាល់ថាសកម្មភាពដែលទាក់ទងនឹង REF2754 បង្ហាញពីភាពស្រដៀងគ្នានៃកលល្បិចជាមួយក្រុមគំរាមកំហែងមួយផ្សេងទៀតដែលហៅថា REF4322 ។ ក្រុមចុងក្រោយត្រូវបានគេស្គាល់ថាបានកំណត់គោលដៅអង្គភាពវៀតណាមជាចម្បង និងដាក់ពង្រាយផ្សាំក្រោយការកេងប្រវ័ញ្ចដែលគេស្គាល់ថា PHOREAL (ហៅម្យ៉ាងទៀតថា Rizzo)។
ការតភ្ជាប់ទាំងនេះបាននាំឱ្យមានសម្មតិកម្មថាទាំងក្រុមសកម្មភាព REF4322 និង REF2754 អាចតំណាងឱ្យយុទ្ធនាការសម្របសម្រួលរៀបចំដោយអង្គភាពគំរាមកំហែងវៀតណាមដែលមានទំនាក់ទំនងជាមួយរដ្ឋ។ ផលប៉ះពាល់នៃលទ្ធភាពនេះបញ្ជាក់ពីការចូលរួមដ៏មានសក្តានុពលនៃតួអង្គរដ្ឋជាតិនៅក្នុងប្រតិបត្តិការអ៊ិនធឺណិតដ៏ទំនើប និងគោលដៅទាំងនេះ។
