SPECTRALVIPER Skadelig programvare
Vietnamesiske offentlige selskaper har blitt mål for et sofistikert angrep ved å bruke en nylig identifisert bakdør kalt SPECTRALVIPER. SPECTRALVIPER er en avansert x64-bakdør som er sterkt tilslørt og tidligere ikke ble avslørt. Dette truende verktøyet har forskjellige funksjoner, inkludert PE-lasting og -injeksjon, filopplasting og nedlasting, fil- og katalogmanipulering, samt token-etterligning.
Trusselaktøren bak disse angrepene er identifisert og sporet som REF2754. Denne skuespilleren er assosiert med en vietnamesisk trusselgruppe kjent under flere navn, inkludert APT32 , Canvas Cyclone (tidligere Bismuth), Cobalt Kitty og OceanLotus. Dette antyder en sammenheng mellom den pågående kampanjen og aktivitetene til denne trusselgruppen.
Innholdsfortegnelse
SPECTRALVIPER er distribuert sammen med andre trusler mot skadelig programvare
De truende aktivitetene involverer bruk av SysInternals ProcDump-verktøyet for å lette lasting av en usignert DLL-fil som inneholder DONUTLOADER. Denne lasteren er spesifikt konfigurert for å laste SPECTRALVIPER, sammen med andre malware-varianter, som P8LOADER og POWERSEAL.
SPECTRALVIPER, når den er lastet, etablerer kommunikasjon med en server kontrollert av trusselaktøren. Den forblir i en sovende tilstand og venter på ytterligere instruksjoner. For å unngå analyse, bruker SPECTRALVIPER obfuskeringsteknikker som kontrollflytutflating, noe som gjør det mer utfordrende å tyde funksjonaliteten.
P8LOADER, skrevet i C++, har evnen til å utføre vilkårlige nyttelaster, enten fra en fil eller direkte fra minnet. I tillegg bruker trusselaktørene en tilpasset PowerShell-løper kalt POWERSEAL, som spesialiserer seg på å utføre medfølgende PowerShell-skript eller kommandoer.
Flere truende egenskaper funnet i SPECTRALVIPER
SPECTRALVIPER viser en rekke funksjoner som bidrar til skadelige aktiviteter. Med sin PE-lasting og injeksjonsfunksjonalitet kan SPECTRALVIPER laste og injisere kjørbare filer, og støtter både x86- og x64-arkitekturer. Denne funksjonen gjør det mulig for skadelig programvare å kjøre en dårlig kode innenfor legitime prosesser, effektivt kamuflere aktivitetene og unngå oppdagelse.
En annen bemerkelsesverdig egenskap hos SPECTRALVIPER er dens evne til å etterligne sikkerhetstokens. Ved å utgi seg for disse tokenene, kan skadelig programvare få økte privilegier, og omgå visse sikkerhetstiltak som er på plass. Denne uautoriserte tilgangen gir angriperen muligheten til å manipulere sensitive ressurser og utføre handlinger utenfor deres autoriserte omfang.
Videre har SPECTRALVIPER muligheten til å laste ned og laste opp filer til og fra det kompromitterte systemet. Denne funksjonaliteten lar angriperen eksfiltrere sensitive data fra offerets maskin eller levere ytterligere skadelige nyttelaster, noe som utvider kontrollen og utholdenheten i det kompromitterte miljøet.
I tillegg kan bakdøren manipulere filer og kataloger på det kompromitterte systemet. Dette inkluderer å opprette, slette, endre og flytte filer eller kataloger. Ved å utøve kontroll over offerets filsystem, får angriperen omfattende autoritet til å manipulere og manipulere filene og katalogene for å passe deres mål.
Disse egenskapene bidrar samlet til trusselen som utgjøres av SPECTRALVIPER, og gjør det mulig for angriperen å utføre ulike utrygge aktiviteter samtidig som de opprettholder utholdenhet og kontroll over det kompromitterte systemet.
Potensiell forbindelse til andre nettkriminelle grupper
Spesielt viser aktivitetene knyttet til REF2754 taktiske likheter med en annen trusselgruppe referert til som REF4322. Den sistnevnte gruppen er kjent for først og fremst å målrette mot vietnamesiske enheter og distribuere et implantat etter utnyttelse kjent som PHOREAL (også kjent som Rizzo).
Disse forbindelsene har ført til hypotesen om at både REF4322 og REF2754 aktivitetsgrupper kan representere koordinerte kampanjer orkestrert av en vietnamesisk trusselenhet tilknyttet staten. Implikasjonene av denne muligheten understreker den potensielle involveringen av nasjonalstatlige aktører i disse sofistikerte og målrettede cyberoperasjonene.
