SPECTRALVIPER-malware
Vietnamese openbare bedrijven zijn het doelwit geworden van een geavanceerde aanval met behulp van een nieuw geïdentificeerde achterdeur genaamd SPECTRALVIPER. SPECTRALVIPER is een geavanceerde x64-achterdeur die zwaar verduisterd is en voorheen niet bekend werd gemaakt. Deze bedreigende tool beschikt over verschillende mogelijkheden, waaronder het laden en injecteren van PE, het uploaden en downloaden van bestanden, het manipuleren van bestanden en mappen en het nabootsen van tokens.
De bedreigingsactor achter deze aanvallen is geïdentificeerd en gevolgd als REF2754. Deze acteur wordt geassocieerd met een Vietnamese dreigingsgroep die bekend staat onder meerdere namen, waaronder APT32 , Canvas Cyclone (voorheen Bismuth), Cobalt Kitty en OceanLotus. Dit suggereert een verband tussen de lopende campagne en de activiteiten van deze dreigingsgroep.
Inhoudsopgave
SPECTRALVIPER wordt ingezet naast andere malwarebedreigingen
De bedreigende activiteiten omvatten het gebruik van het SysInternals ProcDump-hulpprogramma om het laden van een niet-ondertekend DLL-bestand met de DONUTLOADER te vergemakkelijken. Deze loader is specifiek geconfigureerd om SPECTRALVIPER te laden, samen met andere malwarevarianten, zoals P8LOADER en POWERSEAL.
SPECTRALVIPER brengt, eenmaal geladen, communicatie tot stand met een server die wordt beheerd door de bedreigingsactor. Het blijft in een slapende toestand, in afwachting van verdere instructies. Om analyse te omzeilen, maakt SPECTRALVIPER gebruik van verduisteringstechnieken zoals afvlakking van de besturingsstroom, waardoor het moeilijker wordt om de functionaliteit ervan te ontcijferen.
P8LOADER, geschreven in C++, heeft de mogelijkheid om willekeurige payloads uit te voeren, hetzij vanuit een bestand, hetzij rechtstreeks vanuit het geheugen. Bovendien gebruiken de bedreigingsactoren een aangepaste PowerShell-runner genaamd POWERSEAL, die is gespecialiseerd in het uitvoeren van meegeleverde PowerShell-scripts of -opdrachten.
Meerdere bedreigende mogelijkheden gevonden in SPECTRALVIPER
SPECTRALVIPER vertoont een scala aan mogelijkheden die bijdragen aan zijn schadelijke activiteiten. Met zijn PE-laad- en injectiefunctionaliteit kan SPECTRALVIPER uitvoerbare bestanden laden en injecteren, waarbij zowel x86- als x64-architecturen worden ondersteund. Deze functie stelt de malware in staat om slechte code uit te voeren binnen legitieme processen, waardoor zijn activiteiten effectief worden gecamoufleerd en detectie wordt omzeild.
Een ander opmerkelijk vermogen van SPECTRALVIPER is het vermogen om beveiligingstokens na te bootsen. Door zich voor te doen als deze tokens, kan de malware verhoogde privileges verwerven, waardoor bepaalde beveiligingsmaatregelen worden omzeild. Deze ongeoorloofde toegang geeft de aanvaller de mogelijkheid om gevoelige bronnen te manipuleren en acties uit te voeren die buiten hun toegestane bereik vallen.
Bovendien heeft SPECTRALVIPER de mogelijkheid om bestanden van en naar het gecompromitteerde systeem te downloaden en te uploaden. Met deze functionaliteit kan de aanvaller gevoelige gegevens van de machine van het slachtoffer exfiltreren of aanvullende kwaadaardige payloads leveren, waardoor hun controle en persistentie binnen de gecompromitteerde omgeving wordt vergroot.
Bovendien kan de achterdeur bestanden en mappen op het gecompromitteerde systeem manipuleren. Dit omvat het maken, verwijderen, wijzigen en verplaatsen van bestanden of mappen. Door controle uit te oefenen over het bestandssysteem van het slachtoffer, krijgt de aanvaller uitgebreide autoriteit om de bestanden en mappen te manipuleren en te manipuleren om aan hun doelstellingen te voldoen.
Deze capaciteiten dragen samen bij aan de dreiging die uitgaat van SPECTRALVIPER, waardoor de aanvaller verschillende onveilige activiteiten kan uitvoeren terwijl hij volharding en controle over het gecompromitteerde systeem behoudt.
Potentiële connectie met andere cybercriminele groepen
Met name de activiteiten in verband met REF2754 vertonen tactische overeenkomsten met een andere dreigingsgroep die REF4322 wordt genoemd. De laatste groep staat erom bekend zich voornamelijk op Vietnamese entiteiten te richten en een post-exploitatie-implantaat in te zetten dat bekend staat als PHOREAL (ook bekend als Rizzo).
Deze verbindingen hebben geleid tot de hypothese dat zowel REF4322- als REF2754-activiteitengroepen gecoördineerde campagnes kunnen vertegenwoordigen die zijn georkestreerd door een Vietnamese dreigingsentiteit die aan de staat is gelieerd. De implicaties van deze mogelijkheid onderstrepen de potentiële betrokkenheid van natiestaatactoren bij deze geavanceerde en gerichte cyberoperaties.
