SPECTRALVIPER Malware
Empresas públicas vietnamitas se tornaram alvos de um ataque sofisticado utilizando um backdoor recém-identificado chamado SPECTRALVIPER. SPECTRALVIPER é um backdoor x64 avançado que é fortemente ofuscado e não foi divulgado anteriormente. Essa ferramenta ameaçadora possui vários recursos, incluindo carregamento e injeção de PE, upload e download de arquivos, manipulação de arquivos e diretórios, bem como representação de token.
O agente da ameaça por trás desses ataques foi identificado e rastreado como REF2754. Este ator está associado a um grupo de ameaças vietnamita conhecido por vários nomes, incluindo APT32, Canvas Cyclone (anteriormente Bismuth), Cobalt Kitty e OceanLotus. Isso sugere uma conexão entre a campanha em andamento e as atividades desse grupo de ameaças.
Índice
O SPECTRALVIPER é Implantado Junto com Outras Ameaças de Malware
As atividades ameaçadoras envolvem a utilização do utilitário SysInternals ProcDump para facilitar o carregamento de um arquivo DLL não assinado contendo o DONUTLOADER. Este carregador é especificamente configurado para carregar o SPECTRALVIPER, juntamente com outras variantes de malware, tais como o P8LOADER e o POWERSEAL.
O SPECTRALVIPER, uma vez carregado, estabelece comunicação com um servidor controlado pelo agente da ameaça. Ele permanece em um estado inativo, aguardando novas instruções. Para evitar a análise, o SPECTRALVIPER emprega técnicas de ofuscação, como nivelamento do fluxo de controle, tornando mais difícil decifrar sua funcionalidade.
O P8LOADER, escrito em C++, possui a capacidade de executar cargas arbitrárias, seja de um arquivo ou diretamente da memória. Além disso, os agentes de ameaças empregam um executor de PowerShell personalizado chamado POWERSEAL, especializado na execução de scripts ou comandos PowerShell fornecidos.
Múltiplas Capacidades Ameaçadoras Encontradas no SPECTRALVIPER
O SPECTRALVIPER exibe uma gama de capacidades que contribuem para suas atividades nocivas. Com sua funcionalidade de carregamento e injeção de PE, o SPECTRALVIPER pode carregar e injetar arquivos executáveis, suportando as arquiteturas x86 e x64. Esse recurso permite que o malware execute um código incorreto em processos legítimos, camuflando efetivamente suas atividades e evitando a detecção.
Outra capacidade notável do SPECTRALVIPER é sua capacidade de representar tokens de segurança. Ao representar esses tokens, o malware pode adquirir privilégios elevados, contornando certas medidas de segurança em vigor. Esse acesso não autorizado concede ao invasor a capacidade de manipular recursos confidenciais e realizar ações além de seu escopo autorizado.
Além disso, o SPECTRALVIPER possui a capacidade de baixar e carregar arquivos de e para o sistema comprometido. Essa funcionalidade permite que o invasor extraia dados confidenciais da máquina da vítima ou forneça cargas maliciosas adicionais, expandindo seu controle e persistência no ambiente comprometido.
Além disso, o backdoor pode manipular arquivos e diretórios no sistema comprometido. Isso inclui criar, excluir, modificar e mover arquivos ou diretórios. Ao exercer controle sobre o sistema de arquivos da vítima, o invasor ganha ampla autoridade para manipular e manipular os arquivos e diretórios de acordo com seus objetivos.
Esses recursos contribuem coletivamente para a ameaça representada pelo SPECTRALVIPER, permitindo que o invasor execute várias atividades inseguras enquanto mantém persistência e controle sobre o sistema comprometido.
Conexão em Potencial com Outros Grupos Cibercriminosos
Notavelmente, as atividades associadas ao REF2754 exibem semelhanças táticas com outro grupo de ameaças conhecido como REF4322. O último grupo é conhecido por visar principalmente entidades vietnamitas e implantar um implante pós-exploração conhecido como PHOREAL (também conhecido como Rizzo).
Essas conexões levaram à hipótese de que os grupos de atividades REF4322 e REF2754 podem representar campanhas coordenadas orquestradas por uma entidade de ameaça vietnamita afiliada ao estado. As implicações dessa possibilidade ressaltam o envolvimento potencial de atores do estado-nação nessas operações cibernéticas sofisticadas e direcionadas.
