SPECTRALVIPER ļaunprātīga programmatūra
Vjetnamas valsts uzņēmumi ir kļuvuši par sarežģīta uzbrukuma mērķiem, izmantojot tikko identificētas aizmugures durvis ar nosaukumu SPECTRALVIPER. SPECTRALVIPER ir uzlabotas x64 aizmugures durvis, kas ir ļoti aptumšotas un iepriekš netika atklātas. Šim draudošajam rīkam ir dažādas iespējas, tostarp PE ielāde un ievadīšana, failu augšupielāde un lejupielāde, failu un direktoriju manipulācijas, kā arī marķiera uzdošanās.
Šo uzbrukumu izraisītājs ir identificēts un izsekots kā REF2754. Šis aktieris ir saistīts ar Vjetnamas draudu grupu, kas pazīstama ar vairākiem nosaukumiem, tostarp APT32 , Canvas Cyclone (agrāk Bismuth), Cobalt Kitty un OceanLotus. Tas liecina par saistību starp notiekošo kampaņu un šīs draudu grupas aktivitātēm.
Satura rādītājs
SPECTRALVIPER tiek izvietots kopā ar citiem ļaunprātīgas programmatūras draudiem
Draudošās darbības ietver SysInternals ProcDump utilīta izmantošanu, lai atvieglotu neparakstīta DLL faila ielādi, kas satur DONUTLOADER. Šis ielādētājs ir īpaši konfigurēts, lai ielādētu SPECTRALVIPER kopā ar citiem ļaunprātīgas programmatūras variantiem, piemēram, P8LOADER un POWERSEAL.
SPECTRALVIPER, kad tas ir ielādēts, izveido saziņu ar serveri, kuru kontrolē apdraudējuma dalībnieks. Tas paliek neaktivizētā stāvoklī, gaidot turpmākus norādījumus. Lai izvairītos no analīzes, SPECTRALVIPER izmanto apmulsināšanas metodes, piemēram, vadības plūsmas izlīdzināšanu, padarot tās funkcionalitātes atšifrēšanu grūtāku.
Programmai P8LOADER, kas rakstīts C++ valodā, ir iespēja izpildīt patvaļīgas slodzes vai nu no faila, vai tieši no atmiņas. Turklāt apdraudējuma dalībnieki izmanto pielāgotu PowerShell palaidēju POWERSEAL, kas specializējas piegādāto PowerShell skriptu vai komandu izpildē.
SPECTRALVIPER atrastas vairākas apdraudošas iespējas
SPECTRALVIPER piemīt virkne iespēju, kas veicina tā kaitīgās darbības. Ar savu PE ielādes un injekcijas funkcionalitāti SPECTRALVIPER var ielādēt un ievadīt izpildāmos failus, atbalstot gan x86, gan x64 arhitektūru. Šī funkcija ļauj ļaunprātīgai programmatūrai izpildīt sliktu kodu likumīgos procesos, efektīvi maskējot savas darbības un izvairoties no atklāšanas.
Vēl viena ievērojama SPECTRALVIPER iespēja ir tās spēja uzdoties par drošības marķieriem. Uzdodoties par šiem marķieriem, ļaunprogrammatūra var iegūt paaugstinātas privilēģijas, apejot noteiktus drošības pasākumus. Šī nesankcionētā piekļuve nodrošina uzbrucējam iespēju manipulēt ar sensitīviem resursiem un veikt darbības, kas pārsniedz viņu pilnvarotās darbības jomu.
Turklāt SPECTRALVIPER ir iespēja lejupielādēt un augšupielādēt failus uz un no apdraudētās sistēmas. Šī funkcionalitāte ļauj uzbrucējam izfiltrēt sensitīvus datus no upura iekārtas vai piegādāt papildu ļaunprātīgas slodzes, paplašinot viņu kontroli un noturību apdraudētajā vidē.
Turklāt aizmugures durvis var manipulēt ar failiem un direktorijiem apdraudētajā sistēmā. Tas ietver failu vai direktoriju izveidi, dzēšanu, modificēšanu un pārvietošanu. Kontrolējot upura failu sistēmu, uzbrucējs iegūst plašas tiesības manipulēt ar failiem un direktorijiem un tos atbilstoši saviem mērķiem.
Šīs iespējas kopā veicina SPECTRALVIPER radītos draudus, ļaujot uzbrucējam veikt dažādas nedrošas darbības, vienlaikus saglabājot noturību un kontroli pār apdraudēto sistēmu.
Iespējama saikne ar citām kibernoziedznieku grupām
Proti, darbībām, kas saistītas ar REF2754, ir taktiskas līdzības ar citu draudu grupu, ko dēvē par REF4322. Pēdējā grupa ir pazīstama ar to, ka tā galvenokārt ir vērsta uz Vjetnamas vienībām un izvietoja pēcekspluatācijas implantu, kas pazīstams kā PHOREAL (pazīstams arī kā Rizzo).
Šie savienojumi ir noveduši pie hipotēzes, ka gan REF4322, gan REF2754 aktivitāšu grupas var pārstāvēt koordinētas kampaņas, ko organizē Vjetnamas draudu vienība, kas ir saistīta ar valsti. Šīs iespējas sekas uzsver nacionālo valstu dalībnieku iespējamo iesaistīšanos šajās sarežģītajās un mērķtiecīgajās kiberoperācijās.
