Złośliwe oprogramowanie SPECTRALVIPER
Wietnamskie spółki publiczne stały się celem wyrafinowanego ataku z wykorzystaniem nowo zidentyfikowanego backdoora o nazwie SPECTRALVIPER. SPECTRALVIPER to zaawansowany backdoor x64, który jest mocno zaciemniony i wcześniej nie został ujawniony. To groźne narzędzie posiada różne możliwości, w tym ładowanie i wstrzykiwanie PE, przesyłanie i pobieranie plików, manipulowanie plikami i katalogami, a także podszywanie się pod token.
Aktor odpowiedzialny za te ataki został zidentyfikowany i wyśledzony jako REF2754. Ten aktor jest powiązany z wietnamską grupą zagrożeń znaną pod wieloma nazwami, w tym APT32 , Canvas Cyclone (dawniej Bismuth), Cobalt Kitty i OceanLotus. Sugeruje to związek między trwającą kampanią a działaniami tej grupy zagrożeń.
Spis treści
SPECTRALVIPER jest wdrażany wraz z innymi zagrożeniami złośliwym oprogramowaniem
Groźne działania obejmują wykorzystanie narzędzia SysInternals ProcDump w celu ułatwienia ładowania niepodpisanego pliku DLL zawierającego DONUTLOADER. Ten program ładujący jest specjalnie skonfigurowany do ładowania SPECTRALVIPER wraz z innymi wariantami złośliwego oprogramowania, takimi jak P8LOADER i POWERSEAL.
SPECTRALVIPER po załadowaniu nawiązuje komunikację z serwerem kontrolowanym przez cyberprzestępcę. Pozostaje w stanie uśpienia, czekając na dalsze instrukcje. Aby uniknąć analizy, SPECTRALVIPER stosuje techniki zaciemniania, takie jak spłaszczanie przepływu sterowania, co utrudnia rozszyfrowanie jego funkcjonalności.
P8LOADER, napisany w C++, posiada możliwość wykonywania dowolnych ładunków, zarówno z pliku, jak i bezpośrednio z pamięci. Ponadto cyberprzestępcy wykorzystują dostosowany program uruchamiający PowerShell o nazwie POWERSEAL, który specjalizuje się w wykonywaniu dostarczonych skryptów lub poleceń PowerShell.
Wiele groźnych możliwości znalezionych w SPECTRALVIPER
SPECTRALVIPER wykazuje szereg możliwości, które przyczyniają się do jego szkodliwych działań. Dzięki funkcjom ładowania i wstrzykiwania PE, SPECTRALVIPER może ładować i wstrzykiwać pliki wykonywalne, obsługując zarówno architektury x86, jak i x64. Ta funkcja umożliwia złośliwemu oprogramowaniu wykonanie złego kodu w ramach legalnych procesów, skutecznie kamuflując swoje działania i unikając wykrycia.
Kolejną godną uwagi funkcją SPECTRALVIPER jest możliwość podszywania się pod tokeny bezpieczeństwa. Podszywając się pod te tokeny, złośliwe oprogramowanie może uzyskać podwyższone uprawnienia, omijając określone środki bezpieczeństwa. Ten nieautoryzowany dostęp daje atakującemu możliwość manipulowania wrażliwymi zasobami i wykonywania działań wykraczających poza ich autoryzowany zakres.
Ponadto SPECTRALVIPER posiada możliwość pobierania i wysyłania plików do iz zaatakowanego systemu. Ta funkcja umożliwia atakującemu eksfiltrację poufnych danych z maszyny ofiary lub dostarczenie dodatkowych złośliwych ładunków, rozszerzając kontrolę i trwałość w zaatakowanym środowisku.
Ponadto backdoor może manipulować plikami i katalogami w zaatakowanym systemie. Obejmuje to tworzenie, usuwanie, modyfikowanie i przenoszenie plików lub katalogów. Sprawując kontrolę nad systemem plików ofiary, atakujący uzyskuje szerokie uprawnienia do manipulowania i manipulowania plikami i katalogami w celu osiągnięcia swoich celów.
Możliwości te wspólnie przyczyniają się do zagrożenia stwarzanego przez SPECTRALVIPER, umożliwiając atakującemu wykonywanie różnych niebezpiecznych działań przy jednoczesnym zachowaniu trwałości i kontroli nad zaatakowanym systemem.
Potencjalne powiązania z innymi grupami cyberprzestępczymi
Warto zauważyć, że działania związane z REF2754 wykazują podobieństwa taktyczne z inną grupą zagrożeń określaną jako REF4322. Ta ostatnia grupa znana jest przede wszystkim z tego, że atakuje jednostki wietnamskie i rozmieszcza poeksploatacyjny implant znany jako PHOREAL (znany również jako Rizzo).
Te powiązania doprowadziły do hipotezy, że zarówno grupy REF4322, jak i REF2754 mogą reprezentować skoordynowane kampanie zorganizowane przez wietnamski podmiot zagrażający powiązaniu z państwem. Konsekwencje tej możliwości podkreślają potencjalne zaangażowanie aktorów państw narodowych w te wyrafinowane i ukierunkowane operacje cybernetyczne.
