SPECTRALVIPER मालवेयर
भियतनामी सार्वजनिक कम्पनीहरू SPECTRALVIPER भनिने नयाँ पहिचान गरिएको ब्याकडोर प्रयोग गरेर परिष्कृत आक्रमणको लक्ष्य बनेका छन्। SPECTRALVIPER एक उन्नत x64 ब्याकडोर हो जुन धेरै अस्पष्ट छ र पहिले अज्ञात थियो। यो धम्की दिने उपकरणमा PE लोडिङ र इन्जेक्सन, फाइल अपलोड र डाउनलोड, फाइल र डाइरेक्टरी हेरफेर, साथै टोकन प्रतिरूपण सहित विभिन्न क्षमताहरू छन्।
यी आक्रमणहरू पछाडि धम्की दिने व्यक्तिलाई REF2754 को रूपमा पहिचान र ट्र्याक गरिएको छ। यो अभिनेता APT32 , क्यानभास साइक्लोन (पहिले बिस्मथ), कोबाल्ट किट्टी र ओशनलोटस सहित बहु नामले चिनिने भियतनामी खतरा समूहसँग सम्बन्धित छ। यसले चलिरहेको अभियान र यस धम्की समूहका गतिविधिहरू बीचको सम्बन्धको सुझाव दिन्छ।
सामग्रीको तालिका
SPECTRALVIPER अन्य मालवेयर खतराहरूको साथमा तैनात गरिएको छ
धम्की दिने गतिविधिहरूमा DONUTLOADER भएको हस्ताक्षर नगरिएको DLL फाइल लोड गर्न सहज बनाउन SysInternals ProcDump उपयोगिताको प्रयोग समावेश छ। यो लोडर विशेष रूपमा P8LOADER र POWERSEAL जस्ता अन्य मालवेयर भेरियन्टहरूसँगै SPECTRALVIPER लोड गर्न कन्फिगर गरिएको छ।
SPECTRALVIPER, एक पटक लोड भएपछि, खतरा अभिनेता द्वारा नियन्त्रित सर्भर संग संचार स्थापित गर्दछ। यो सुप्त अवस्थामा रहन्छ, थप निर्देशनहरूको पर्खाइमा। विश्लेषणबाट बच्नको लागि, SPECTRALVIPER ले नियन्त्रण प्रवाह फ्ल्याटेनिङ जस्ता अस्पष्टता प्रविधिहरू प्रयोग गर्दछ, यसले यसको कार्यक्षमता बुझ्न अझ चुनौतीपूर्ण बनाउँछ।
P8LOADER, C++ मा लेखिएको, फाइलबाट वा सिधै मेमोरीबाट, मनमानी पेलोडहरू कार्यान्वयन गर्ने क्षमता छ। थप रूपमा, खतरा अभिनेताहरूले POWERSEAL भनिने अनुकूलित PowerShell धावकलाई रोजगार दिन्छन्, जसले आपूर्ति गरिएका PowerShell स्क्रिप्टहरू वा आदेशहरू कार्यान्वयन गर्नमा विशेषज्ञता दिन्छ।
SPECTRALVIPER मा बहु धम्की क्षमताहरू फेला पर्यो
SPECTRALVIPER ले यसको हानिकारक गतिविधिहरूमा योगदान गर्ने क्षमताहरूको दायरा प्रदर्शन गर्दछ। यसको PE लोडिङ र इंजेक्शन कार्यक्षमताको साथ, SPECTRALVIPER ले x86 र x64 आर्किटेक्चर दुवैलाई समर्थन गर्दै कार्यान्वयनयोग्य फाइलहरू लोड र इन्जेक्सन गर्न सक्छ। यो सुविधाले मालवेयरलाई वैध प्रक्रियाहरू भित्र खराब कोड कार्यान्वयन गर्न सक्षम बनाउँछ, प्रभावकारी रूपमा यसको गतिविधिहरू छद्म गर्दै र पत्ता लगाउनबाट बचाउँछ।
SPECTRALVIPER को अर्को उल्लेखनीय क्षमता भनेको सुरक्षा टोकन प्रतिरूपण गर्ने क्षमता हो। यी टोकनहरूको प्रतिरूपण गरेर, मालवेयरले उच्च सुविधाहरू प्राप्त गर्न सक्छ, स्थानमा केही सुरक्षा उपायहरू बेवास्ता गर्दै। यो अनाधिकृत पहुँचले आक्रमणकारीलाई संवेदनशील स्रोतहरू हेरफेर गर्ने र तिनीहरूको अधिकार क्षेत्रभन्दा बाहिरका कार्यहरू गर्ने क्षमता प्रदान गर्दछ।
यसबाहेक, SPECTRALVIPER सँग सम्झौता गरिएको प्रणालीमा फाइलहरू डाउनलोड र अपलोड गर्ने क्षमता छ। यो कार्यक्षमताले आक्रमणकारीलाई पीडितको मेसिनबाट संवेदनशील डेटा निकाल्न वा थप खराब पेलोडहरू डेलिभर गर्न अनुमति दिन्छ, तिनीहरूको नियन्त्रण र सम्झौता गरिएको वातावरण भित्र दृढता विस्तार गर्दछ।
थप रूपमा, ब्याकडोरले सम्झौता प्रणालीमा फाइलहरू र डाइरेक्टरीहरू हेरफेर गर्न सक्छ। यसमा फाइल वा डाइरेक्टरीहरू सिर्जना गर्ने, मेटाउने, परिमार्जन गर्ने र सार्ने काम समावेश छ। पीडितको फाइल प्रणालीमा नियन्त्रण प्रयोग गरेर, आक्रमणकारीले आफ्नो उद्देश्य अनुरूप फाइलहरू र डाइरेक्टरीहरूलाई हेरफेर र हेरफेर गर्न व्यापक अधिकार प्राप्त गर्दछ।
यी क्षमताहरूले सामूहिक रूपमा SPECTRALVIPER द्वारा उत्पन्न खतरामा योगदान पुर्याउँछन्, जसले आक्रमणकर्तालाई सम्झौता प्रणालीमा दृढता र नियन्त्रण कायम राख्दै विभिन्न असुरक्षित गतिविधिहरू कार्यान्वयन गर्न सक्षम पार्छ।
अन्य साइबर अपराधी समूहहरूमा सम्भावित जडान
उल्लेखनीय रूपमा, REF2754 सँग सम्बन्धित गतिविधिहरूले REF4322 भनिने अर्को खतरा समूहसँग रणनीतिक समानताहरू प्रदर्शन गर्दछ। पछिल्लो समूह मुख्य रूपमा भियतनामी संस्थाहरूलाई लक्षित गर्न र PHOREAL (रिजो पनि भनिन्छ) भनेर चिनिने पोस्ट-शोषण प्रत्यारोपणको लागि परिचित छ।
यी जडानहरूले परिकल्पनाको नेतृत्व गरेको छ कि दुबै REF4322 र REF2754 गतिविधि समूहहरूले राज्यसँग सम्बद्ध भियतनामी खतरा निकायद्वारा आयोजित समन्वयित अभियानहरू प्रतिनिधित्व गर्न सक्छन्। यस सम्भावनाको निहितार्थले यी परिष्कृत र लक्षित साइबर कार्यहरूमा राष्ट्र-राज्य कलाकारहरूको सम्भावित संलग्नतालाई रेखांकित गर्दछ।
