SPECTRALVIPER 멀웨어

베트남 공기업은 SPECTRALVIPER라는 새로 식별된 백도어를 활용하는 정교한 공격의 대상이 되었습니다. SPECTRALVIPER는 고도로 난독화되고 이전에 공개되지 않은 고급 x64 백도어입니다. 이 위협적인 도구는 PE 로딩 및 주입, 파일 업로드 및 다운로드, 파일 및 디렉토리 조작, 토큰 사칭을 포함한 다양한 기능을 보유하고 있습니다.

이러한 공격 배후의 위협 행위자는 REF2754로 식별 및 추적되었습니다. 이 행위자는 APT32 , Canvas Cyclone(이전 Bismuth), Cobalt Kitty 및 OceanLotus를 포함하여 여러 이름으로 알려진 베트남 위협 그룹과 연관되어 있습니다. 이것은 진행 중인 캠페인과 이 위협 그룹의 활동 사이의 연관성을 시사합니다.

다른 맬웨어 위협과 함께 배포되는 SPECTRALVIPER

위협 활동에는 DONUTLOADER가 포함된 서명되지 않은 DLL 파일의 로드를 용이하게 하기 위해 SysInternals ProcDump 유틸리티를 활용하는 것이 포함됩니다. 이 로더는 P8LOADER 및 POWERSEAL과 같은 다른 맬웨어 변종과 함께 SPECTRALVIPER를 로드하도록 특별히 구성되었습니다.

일단 로드된 SPECTRALVIPER는 위협 행위자가 제어하는 서버와 통신을 설정합니다. 휴면 상태로 남아 추가 지침을 기다립니다. 분석을 회피하기 위해 SPECTRALVIPER는 제어 흐름 평탄화와 같은 난독화 기술을 사용하여 기능을 해독하기 더 어렵게 만듭니다.

C++로 작성된 P8LOADER는 파일에서 또는 메모리에서 직접 임의의 페이로드를 실행할 수 있는 기능을 가지고 있습니다. 또한 공격자는 제공된 PowerShell 스크립트 또는 명령 실행을 전문으로 하는 POWERSEAL이라는 맞춤형 PowerShell 실행기를 사용합니다.

SPECTRALVIPER에서 발견된 다중 위협 기능

SPECTRALVIPER는 해로운 활동에 기여하는 다양한 기능을 보여줍니다. PE 로딩 및 인젝션 기능을 통해 SPECTRALVIPER는 x86 및 x64 아키텍처를 모두 지원하는 실행 파일을 로드하고 인젝션할 수 있습니다. 이 기능을 사용하면 맬웨어가 합법적인 프로세스 내에서 악성 코드를 실행하여 해당 활동을 효과적으로 위장하고 탐지를 피할 수 있습니다.

SPECTRALVIPER의 또 다른 주목할만한 기능은 보안 토큰을 가장하는 기능입니다. 이러한 토큰을 사칭하여 맬웨어는 높은 권한을 획득하여 특정 보안 조치를 우회할 수 있습니다. 이 무단 액세스는 공격자에게 민감한 리소스를 조작하고 승인된 범위를 넘어서는 작업을 수행할 수 있는 능력을 부여합니다.

또한 SPECTRALVIPER는 손상된 시스템에서 파일을 다운로드 및 업로드할 수 있는 기능을 보유하고 있습니다. 이 기능을 통해 공격자는 피해자의 시스템에서 중요한 데이터를 빼내거나 추가 악성 페이로드를 전달하여 손상된 환경 내에서 제어 및 지속성을 확장할 수 있습니다.

또한 백도어는 손상된 시스템에서 파일과 디렉토리를 조작할 수 있습니다. 여기에는 파일 또는 디렉토리 생성, 삭제, 수정 및 이동이 포함됩니다. 피해자의 파일 시스템을 제어함으로써 공격자는 목적에 맞게 파일과 디렉토리를 조작할 수 있는 광범위한 권한을 얻습니다.

이러한 기능은 전체적으로 SPECTRALVIPER가 제기하는 위협에 기여하여 공격자가 손상된 시스템에 대한 지속성과 제어를 유지하면서 다양한 안전하지 않은 활동을 실행할 수 있도록 합니다.

다른 사이버 범죄 그룹과의 잠재적 연결

특히 REF2754와 관련된 활동은 REF4322라고 하는 다른 위협 그룹과 전술적 유사성을 나타냅니다. 후자의 그룹은 주로 베트남 법인을 표적으로 삼고 PHOREAL(Rizzo라고도 함)로 알려진 착취 후 임플란트를 배치하는 것으로 알려져 있습니다.

이러한 연결은 REF4322 및 REF2754 활동 그룹이 국가와 제휴한 베트남 위협 엔티티에 의해 조정된 캠페인을 나타낼 수 있다는 가설로 이어졌습니다. 이 가능성의 의미는 이러한 정교하고 표적화된 사이버 작전에 국가 행위자가 잠재적으로 관여할 수 있음을 강조합니다.