SPECTRALVIPER kenkėjiška programa
Vietnamo akcinės bendrovės tapo sudėtingos atakos taikiniais, naudojant naujai identifikuotas užpakalines duris, pavadintas SPECTRALVIPER. SPECTRALVIPER yra pažangios x64 galinės durys, kurios yra labai užtemdytos ir anksčiau nebuvo atskleistos. Šis grėsmingas įrankis turi įvairių galimybių, įskaitant PE įkėlimą ir įterpimą, failų įkėlimą ir atsisiuntimą, failų ir katalogų manipuliavimą, taip pat žetonų apsimetinėjimą.
Šių atakų grėsmės veikėjas buvo nustatytas ir sekamas kaip REF2754. Šis aktorius siejamas su Vietnamo grėsmių grupe, žinoma keliais pavadinimais, įskaitant APT32 , Canvas Cyclone (anksčiau Bismuth), Cobalt Kitty ir OceanLotus. Tai rodo ryšį tarp vykstančios kampanijos ir šios grėsmės grupės veiklos.
Turinys
SPECTRALVIPER yra įdiegtas kartu su kitomis kenkėjiškomis programomis
Grėsminga veikla apima SysInternals ProcDump programos naudojimą, kad būtų lengviau įkelti nepasirašytą DLL failą, kuriame yra DONUTLOADER. Šis įkroviklis yra specialiai sukonfigūruotas įkelti SPECTRALVIPER kartu su kitais kenkėjiškų programų variantais, pvz., P8LOADER ir POWERSEAL.
Įkeltas SPECTRALVIPER užmezga ryšį su serveriu, kurį valdo grėsmės veikėjas. Jis lieka ramybės būsenoje ir laukia tolesnių nurodymų. Kad išvengtų analizės, SPECTRALVIPER taiko užmaskavimo metodus, pvz., valdymo srauto išlyginimą, todėl sudėtingiau iššifruoti jo funkcijas.
P8LOADER, parašytas C++, turi galimybę vykdyti savavališkus naudingus krovinius iš failo arba tiesiai iš atminties. Be to, grėsmės veikėjai naudoja pritaikytą „PowerShell“ paleidiklį, vadinamą POWERSEAL, kuris specializuojasi vykdant pateiktus „PowerShell“ scenarijus arba komandas.
SPECTRALVIPER aptiktos kelios grėsmingos galimybės
SPECTRALVIPER pasižymi įvairiomis savybėmis, kurios prisideda prie jo žalingos veiklos. Naudodamas PE įkėlimo ir įterpimo funkciją, SPECTRALVIPER gali įkelti ir įterpti vykdomuosius failus, palaikančius x86 ir x64 architektūras. Ši funkcija leidžia kenkėjiškajai programai vykdyti netinkamą kodą teisėtuose procesuose, veiksmingai užmaskuojant savo veiklą ir išvengiant aptikimo.
Dar viena verta dėmesio SPECTRALVIPER galimybė yra jos galimybė apsimesti saugos žetonais. Apsimetinėdama šiais žetonais, kenkėjiška programa gali įgyti aukštesnių privilegijų, apeinant tam tikras taikomas saugumo priemones. Ši neteisėta prieiga suteikia užpuolikui galimybę manipuliuoti jautriais ištekliais ir atlikti veiksmus, viršijančius jų įgaliotą sritį.
Be to, SPECTRALVIPER turi galimybę atsisiųsti ir įkelti failus į pažeistą sistemą ir iš jos. Ši funkcija leidžia užpuolikui išfiltruoti neskelbtinus duomenis iš aukos įrenginio arba pateikti papildomų kenksmingų krovinių, išplečiant jų kontrolę ir išlikimą pažeistoje aplinkoje.
Be to, užpakalinės durys gali manipuliuoti pažeistos sistemos failais ir katalogais. Tai apima failų ar katalogų kūrimą, trynimą, keitimą ir perkėlimą. Kontroliuodamas aukos failų sistemą, užpuolikas įgyja didelius įgaliojimus manipuliuoti failais ir katalogais ir jais manipuliuoti, kad atitiktų savo tikslus.
Šios galimybės kartu prisideda prie SPECTRALVIPER keliamos grėsmės, leidžiančios užpuolikui vykdyti įvairią nesaugią veiklą, išlaikant atkaklumą ir pažeistos sistemos kontrolę.
Galimas ryšys su kitomis kibernetinių nusikaltėlių grupėmis
Pažymėtina, kad veikla, susijusi su REF2754, turi taktinių panašumų su kita grėsmių grupe, vadinama REF4322. Pastaroji grupė yra žinoma dėl to, kad pirmiausia taikosi į Vietnamo subjektus ir įdiegė implantą po eksploatavimo, žinomo kaip PHOREAL (taip pat žinomas kaip Rizzo).
Dėl šių ryšių kilo hipotezė, kad tiek REF4322, tiek REF2754 veiklos grupės gali atstovauti koordinuotoms kampanijoms, kurias organizuoja Vietnamo grėsmės subjektas, susijęs su valstybe. Šios galimybės pasekmės pabrėžia galimą nacionalinių valstybių veikėjų dalyvavimą šiose sudėtingose ir tikslinėse kibernetinėse operacijose.
