Perisian hasad SPECTRALVIPER
Syarikat awam Vietnam telah menjadi sasaran serangan canggih menggunakan pintu belakang yang baru dikenal pasti dipanggil SPECTRALVIPER. SPECTRALVIPER ialah pintu belakang x64 canggih yang banyak dikaburkan dan tidak didedahkan sebelum ini. Alat yang mengancam ini mempunyai pelbagai keupayaan, termasuk memuatkan dan suntikan PE, muat naik dan muat turun fail, manipulasi fail dan direktori, serta penyamaran token.
Aktor ancaman di sebalik serangan ini telah dikenal pasti dan dikesan sebagai REF2754. Pelakon ini dikaitkan dengan kumpulan ancaman Vietnam yang dikenali dengan pelbagai nama, termasuk APT32 , Canvas Cyclone (dahulunya Bismuth), Cobalt Kitty dan OceanLotus. Ini menunjukkan perkaitan antara kempen yang sedang berjalan dan aktiviti kumpulan ancaman ini.
Isi kandungan
SPECTRALVIPER Digunakan Bersama Ancaman Peribadi Lain
Aktiviti mengancam melibatkan penggunaan utiliti SysInternals ProcDump untuk memudahkan pemuatan fail DLL yang tidak ditandatangani yang mengandungi DONUTLOADER. Pemuat ini dikonfigurasikan secara khusus untuk memuatkan SPECTRALVIPER, bersama-sama varian perisian hasad lain, seperti P8LOADER dan POWERSEAL.
SPECTRALVIPER, setelah dimuatkan, mewujudkan komunikasi dengan pelayan yang dikawal oleh aktor ancaman. Ia kekal dalam keadaan tidak aktif, menunggu arahan selanjutnya. Untuk mengelakkan analisis, SPECTRALVIPER menggunakan teknik pengeliruan seperti kawalan aliran merata, menjadikannya lebih mencabar untuk menguraikan fungsinya.
P8LOADER, yang ditulis dalam C++, mempunyai keupayaan untuk melaksanakan muatan sewenang-wenangnya, sama ada dari fail atau terus dari memori. Selain itu, pelaku ancaman menggunakan pelari PowerShell tersuai yang dipanggil POWERSEAL, yang pakar dalam melaksanakan skrip atau arahan PowerShell yang dibekalkan.
Pelbagai Keupayaan Mengancam Ditemui dalam SPECTRALVIPER
SPECTRALVIPER mempamerkan pelbagai keupayaan yang menyumbang kepada aktiviti berbahayanya. Dengan fungsi pemuatan dan suntikan PE, SPECTRALVIPER boleh memuatkan dan menyuntik fail boleh laku, menyokong kedua-dua seni bina x86 dan x64. Ciri ini membolehkan perisian hasad untuk melaksanakan kod buruk dalam proses yang sah, dengan berkesan menyamarkan aktivitinya dan mengelak pengesanan.
Satu lagi keupayaan SPECTRALVIPER yang patut diberi perhatian ialah keupayaannya untuk menyamar sebagai token keselamatan. Dengan menyamar sebagai token ini, perisian hasad boleh memperoleh keistimewaan yang tinggi, memintas langkah keselamatan tertentu yang ditetapkan. Akses tanpa kebenaran ini memberikan penyerang keupayaan untuk memanipulasi sumber sensitif dan melakukan tindakan di luar skop dibenarkan mereka.
Tambahan pula, SPECTRALVIPER mempunyai keupayaan untuk memuat turun dan memuat naik fail ke dan dari sistem yang terjejas. Kefungsian ini membolehkan penyerang mengeluarkan data sensitif daripada mesin mangsa atau menghantar muatan berniat jahat tambahan, mengembangkan kawalan dan kegigihan mereka dalam persekitaran yang terjejas.
Di samping itu, pintu belakang boleh memanipulasi fail dan direktori pada sistem yang terjejas. Ini termasuk mencipta, memadam, mengubah suai dan memindahkan fail atau direktori. Dengan menggunakan kawalan ke atas sistem fail mangsa, penyerang mendapat kuasa yang luas untuk memanipulasi dan memanipulasi fail dan direktori agar sesuai dengan objektif mereka.
Keupayaan ini secara kolektif menyumbang kepada ancaman yang ditimbulkan oleh SPECTRALVIPER, membolehkan penyerang untuk melaksanakan pelbagai aktiviti tidak selamat sambil mengekalkan kegigihan dan kawalan ke atas sistem yang terjejas.
Potensi Sambungan kepada Kumpulan Penjenayah Siber Lain
Terutama, aktiviti yang dikaitkan dengan REF2754 mempamerkan persamaan taktikal dengan kumpulan ancaman lain yang disebut sebagai REF4322. Kumpulan terakhir ini terkenal kerana menyasarkan entiti Vietnam terutamanya dan menggunakan implan pasca eksploitasi yang dikenali sebagai PHOREAL (juga dikenali sebagai Rizzo).
Hubungan ini telah membawa kepada hipotesis bahawa kedua-dua kumpulan aktiviti REF4322 dan REF2754 mungkin mewakili kempen yang diselaraskan yang didalangi oleh entiti ancaman Vietnam yang bergabung dengan negara. Implikasi daripada kemungkinan ini menggariskan potensi penglibatan aktor negara bangsa dalam operasi siber yang canggih dan disasarkan ini.
