SPECTRALVIPER ਮਾਲਵੇਅਰ
ਵੀਅਤਨਾਮੀ ਜਨਤਕ ਕੰਪਨੀਆਂ SPECTRALVIPER ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਪਛਾਣੇ ਗਏ ਬੈਕਡੋਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਵਧੀਆ ਹਮਲੇ ਦਾ ਨਿਸ਼ਾਨਾ ਬਣ ਗਈਆਂ ਹਨ। SPECTRALVIPER ਇੱਕ ਐਡਵਾਂਸਡ x64 ਬੈਕਡੋਰ ਹੈ ਜੋ ਬਹੁਤ ਜ਼ਿਆਦਾ ਗੁੰਝਲਦਾਰ ਹੈ ਅਤੇ ਪਹਿਲਾਂ ਅਣਜਾਣ ਸੀ। ਇਸ ਧਮਕਾਉਣ ਵਾਲੇ ਟੂਲ ਵਿੱਚ PE ਲੋਡਿੰਗ ਅਤੇ ਇੰਜੈਕਸ਼ਨ, ਫਾਈਲ ਅਪਲੋਡ ਅਤੇ ਡਾਉਨਲੋਡ, ਫਾਈਲ ਅਤੇ ਡਾਇਰੈਕਟਰੀ ਹੇਰਾਫੇਰੀ, ਅਤੇ ਨਾਲ ਹੀ ਟੋਕਨ ਪ੍ਰਤੀਰੂਪਤਾ ਸਮੇਤ ਕਈ ਸਮਰੱਥਾਵਾਂ ਹਨ।
ਇਹਨਾਂ ਹਮਲਿਆਂ ਦੇ ਪਿੱਛੇ ਖਤਰੇ ਵਾਲੇ ਐਕਟਰ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ ਅਤੇ REF2754 ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਅਭਿਨੇਤਾ ਇੱਕ ਵੀਅਤਨਾਮੀ ਧਮਕੀ ਸਮੂਹ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ, ਜਿਸ ਨੂੰ ਕਈ ਨਾਵਾਂ ਨਾਲ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ APT32 , ਕੈਨਵਸ ਚੱਕਰਵਾਤ (ਪਹਿਲਾਂ ਬਿਸਮਥ), ਕੋਬਾਲਟ ਕਿਟੀ ਅਤੇ ਓਸ਼ਨਲੋਟਸ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਚੱਲ ਰਹੀ ਮੁਹਿੰਮ ਅਤੇ ਇਸ ਖਤਰੇ ਵਾਲੇ ਸਮੂਹ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਵਿਚਕਾਰ ਸਬੰਧ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
SPECTRALVIPER ਨੂੰ ਹੋਰ ਮਾਲਵੇਅਰ ਧਮਕੀਆਂ ਦੇ ਨਾਲ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ
ਧਮਕੀ ਦੇਣ ਵਾਲੀਆਂ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ DONUTLOADER ਵਾਲੀ ਇੱਕ ਹਸਤਾਖਰਿਤ DLL ਫਾਈਲ ਨੂੰ ਲੋਡ ਕਰਨ ਦੀ ਸਹੂਲਤ ਲਈ SysInternals ProcDump ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਲੋਡਰ ਖਾਸ ਤੌਰ 'ਤੇ SPECTRALVIPER ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਹੋਰ ਮਾਲਵੇਅਰ ਰੂਪਾਂ ਦੇ ਨਾਲ, ਜਿਵੇਂ ਕਿ P8LOADER ਅਤੇ POWERSEAL।
SPECTRALVIPER, ਇੱਕ ਵਾਰ ਲੋਡ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਸੁਸਤ ਹਾਲਤ ਵਿੱਚ ਹੈ, ਅਗਲੇ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਉਡੀਕ ਵਿੱਚ। ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਬਚਣ ਲਈ, SPECTRALVIPER ਨਿਯੰਤਰਣ ਪ੍ਰਵਾਹ ਫਲੈਟਨਿੰਗ ਵਰਗੀਆਂ ਗੁੰਝਲਦਾਰ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਸਦੀ ਕਾਰਜਸ਼ੀਲਤਾ ਨੂੰ ਸਮਝਣਾ ਵਧੇਰੇ ਚੁਣੌਤੀਪੂਰਨ ਹੁੰਦਾ ਹੈ।
P8LOADER, C++ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ, ਕੋਲ ਕਿਸੇ ਫਾਈਲ ਤੋਂ ਜਾਂ ਸਿੱਧੇ ਮੈਮੋਰੀ ਤੋਂ, ਆਰਬਿਟਰਰੀ ਪੇਲੋਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਸਮਰੱਥਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਇੱਕ ਕਸਟਮਾਈਜ਼ਡ PowerShell ਦੌੜਾਕ ਨੂੰ POWERSEAL ਕਹਿੰਦੇ ਹਨ, ਜੋ ਸਪਲਾਈ ਕੀਤੀਆਂ PowerShell ਸਕ੍ਰਿਪਟਾਂ ਜਾਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਵਿੱਚ ਮੁਹਾਰਤ ਰੱਖਦਾ ਹੈ।
SPECTRALVIPER ਵਿੱਚ ਮਲਟੀਪਲ ਧਮਕੀ ਸਮਰੱਥਾਵਾਂ ਮਿਲੀਆਂ
SPECTRALVIPER ਸਮਰੱਥਾਵਾਂ ਦੀ ਇੱਕ ਸ਼੍ਰੇਣੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ ਜੋ ਇਸਦੀਆਂ ਨੁਕਸਾਨਦੇਹ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਯੋਗਦਾਨ ਪਾਉਂਦੀਆਂ ਹਨ। ਇਸਦੀ PE ਲੋਡਿੰਗ ਅਤੇ ਇੰਜੈਕਸ਼ਨ ਕਾਰਜਕੁਸ਼ਲਤਾ ਦੇ ਨਾਲ, SPECTRALVIPER ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲਾਂ ਨੂੰ ਲੋਡ ਅਤੇ ਇੰਜੈਕਟ ਕਰ ਸਕਦਾ ਹੈ, x86 ਅਤੇ x64 ਆਰਕੀਟੈਕਚਰ ਦੋਵਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਮਾਲਵੇਅਰ ਨੂੰ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੇ ਅੰਦਰ ਇੱਕ ਖਰਾਬ ਕੋਡ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਇਸ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਛੁਪਾਉਂਦਾ ਹੈ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਦਾ ਹੈ।
SPECTRALVIPER ਦੀ ਇੱਕ ਹੋਰ ਧਿਆਨ ਦੇਣ ਯੋਗ ਸਮਰੱਥਾ ਸੁਰੱਖਿਆ ਟੋਕਨਾਂ ਦੀ ਨਕਲ ਕਰਨ ਦੀ ਯੋਗਤਾ ਹੈ। ਇਹਨਾਂ ਟੋਕਨਾਂ ਦੀ ਨਕਲ ਕਰਕੇ, ਮਾਲਵੇਅਰ ਉੱਚਿਤ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦਾ ਹੈ, ਸਥਾਨ ਵਿੱਚ ਕੁਝ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਰੋਕਦਾ ਹੈ। ਇਹ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਹਮਲਾਵਰ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਸਰੋਤਾਂ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਦੇ ਅਧਿਕਾਰਤ ਦਾਇਰੇ ਤੋਂ ਬਾਹਰ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਕਰਨ ਦੀ ਯੋਗਤਾ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, SPECTRALVIPER ਕੋਲ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਤੇ ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਅਪਲੋਡ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈ। ਇਹ ਕਾਰਜਕੁਸ਼ਲਤਾ ਹਮਲਾਵਰ ਨੂੰ ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਜਾਂ ਵਾਧੂ ਖਤਰਨਾਕ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਸਮਝੌਤਾ ਕੀਤੇ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਉਹਨਾਂ ਦੇ ਨਿਯੰਤਰਣ ਅਤੇ ਨਿਰੰਤਰਤਾ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਬੈਕਡੋਰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰ ਸਕਦਾ ਹੈ। ਇਸ ਵਿੱਚ ਫਾਈਲਾਂ ਜਾਂ ਡਾਇਰੈਕਟਰੀਆਂ ਬਣਾਉਣਾ, ਮਿਟਾਉਣਾ, ਸੋਧਣਾ ਅਤੇ ਮੂਵ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਪੀੜਤ ਦੇ ਫਾਈਲ ਸਿਸਟਮ 'ਤੇ ਨਿਯੰਤਰਣ ਕਰਨ ਦੁਆਰਾ, ਹਮਲਾਵਰ ਆਪਣੇ ਉਦੇਸ਼ਾਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਲਈ ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਅਤੇ ਹੇਰਾਫੇਰੀ ਕਰਨ ਲਈ ਵਿਆਪਕ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।
ਇਹ ਸਮਰੱਥਾਵਾਂ ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ SPECTRALVIPER ਦੁਆਰਾ ਪੈਦਾ ਹੋਏ ਖਤਰੇ ਵਿੱਚ ਯੋਗਦਾਨ ਪਾਉਂਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਦ੍ਰਿੜਤਾ ਅਤੇ ਨਿਯੰਤਰਣ ਬਣਾਈ ਰੱਖਦੇ ਹੋਏ ਵੱਖ-ਵੱਖ ਅਸੁਰੱਖਿਅਤ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਚਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦੇ ਹਨ।
ਹੋਰ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹਾਂ ਨਾਲ ਸੰਭਾਵੀ ਕਨੈਕਸ਼ਨ
ਖਾਸ ਤੌਰ 'ਤੇ, REF2754 ਨਾਲ ਜੁੜੀਆਂ ਗਤੀਵਿਧੀਆਂ REF4322 ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਹੋਰ ਖ਼ਤਰੇ ਵਾਲੇ ਸਮੂਹ ਨਾਲ ਰਣਨੀਤਕ ਸਮਾਨਤਾਵਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੀਆਂ ਹਨ। ਬਾਅਦ ਵਾਲਾ ਸਮੂਹ ਵੀਅਤਨਾਮੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਮੁੱਖ ਤੌਰ 'ਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਅਤੇ ਫੋਰੀਅਲ (ਜਿਸ ਨੂੰ ਰਿਜ਼ੋ ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ) ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੇ ਇਮਪਲਾਂਟ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।
ਇਹਨਾਂ ਕੁਨੈਕਸ਼ਨਾਂ ਨੇ ਇਸ ਧਾਰਨਾ ਵੱਲ ਅਗਵਾਈ ਕੀਤੀ ਹੈ ਕਿ ਦੋਵੇਂ REF4322 ਅਤੇ REF2754 ਗਤੀਵਿਧੀ ਸਮੂਹ ਰਾਜ ਨਾਲ ਸੰਬੰਧਿਤ ਇੱਕ ਵੀਅਤਨਾਮੀ ਖਤਰੇ ਵਾਲੀ ਸੰਸਥਾ ਦੁਆਰਾ ਸੰਚਾਲਿਤ ਮੁਹਿੰਮਾਂ ਦੀ ਨੁਮਾਇੰਦਗੀ ਕਰ ਸਕਦੇ ਹਨ। ਇਸ ਸੰਭਾਵਨਾ ਦੇ ਪ੍ਰਭਾਵ ਇਹਨਾਂ ਸੂਝਵਾਨ ਅਤੇ ਨਿਸ਼ਾਨਾ ਸਾਈਬਰ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਰਾਸ਼ਟਰ-ਰਾਜ ਦੇ ਕਲਾਕਾਰਾਂ ਦੀ ਸੰਭਾਵੀ ਸ਼ਮੂਲੀਅਤ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੇ ਹਨ।
