SPECTRALVIPER Malware
Companiile publice vietnameze au devenit ținta unui atac sofisticat folosind o ușă din spate nou identificată numită SPECTRALVIPER. SPECTRALVIPER este o ușă din spate x64 avansată, care este foarte obstrucționată și nu a fost dezvăluită anterior. Acest instrument amenințător posedă diferite capacități, inclusiv încărcarea și injectarea PE, încărcarea și descărcarea fișierelor, manipularea fișierelor și a directoarelor, precum și uzurparea identității cu simboluri.
Actorul amenințării din spatele acestor atacuri a fost identificat și urmărit ca REF2754. Acest actor este asociat cu un grup de amenințări vietnamez cunoscut sub mai multe nume, inclusiv APT32 , Canvas Cyclone (fostul Bismuth), Cobalt Kitty și OceanLotus. Acest lucru sugerează o legătură între campania în curs și activitățile acestui grup de amenințări.
Cuprins
SPECTRALVIPER este implementat alături de alte amenințări malware
Activitățile amenințătoare implică utilizarea utilitarului SysInternals ProcDump pentru a facilita încărcarea unui fișier DLL nesemnat care conține DONUTLOADER. Acest încărcător este configurat special pentru a încărca SPECTRALVIPER, alături de alte variante de malware, cum ar fi P8LOADER și POWERSEAL.
SPECTRALVIPER, odată încărcat, stabilește comunicarea cu un server controlat de actorul amenințării. Rămâne într-o stare latentă, în așteptarea instrucțiunilor suplimentare. Pentru a evita analizele, SPECTRALVIPER folosește tehnici de ofuscare precum aplatizarea fluxului de control, ceea ce face mai dificilă descifrarea funcționalității sale.
P8LOADER, scris în C++, are capacitatea de a executa sarcini utile arbitrare, fie dintr-un fișier, fie direct din memorie. În plus, actorii amenințărilor folosesc un runner PowerShell personalizat numit POWERSEAL, care este specializat în executarea scripturilor sau comenzilor PowerShell furnizate.
Capacități multiple de amenințare găsite în SPECTRALVIPER
SPECTRALVIPER prezintă o serie de capacități care contribuie la activitățile sale dăunătoare. Cu funcționalitatea de încărcare și injecție PE, SPECTRALVIPER poate încărca și injecta fișiere executabile, compatibile atât cu arhitecturi x86, cât și x64. Această caracteristică permite malware-ului să execute un cod rău în cadrul proceselor legitime, camuflând efectiv activitățile sale și evitând detectarea.
O altă capacitate demnă de remarcat a SPECTRALVIPER este capacitatea sa de a uzurpa identitatea jetoanelor de securitate. Prin uzurparea identității acestor jetoane, malware-ul poate obține privilegii ridicate, eludând anumite măsuri de securitate existente. Acest acces neautorizat oferă atacatorului capacitatea de a manipula resursele sensibile și de a efectua acțiuni dincolo de sfera lor autorizată.
În plus, SPECTRALVIPER are capacitatea de a descărca și încărca fișiere în și din sistemul compromis. Această funcționalitate permite atacatorului să exfiltreze date sensibile din mașina victimei sau să livreze încărcături utile rău intenționate suplimentare, extinzând controlul și persistența acestora în mediul compromis.
În plus, ușa din spate poate manipula fișiere și directoare de pe sistemul compromis. Aceasta include crearea, ștergerea, modificarea și mutarea fișierelor sau directoarelor. Prin exercitarea controlului asupra sistemului de fișiere al victimei, atacatorul câștigă o autoritate extinsă pentru a manipula și manipula fișierele și directoarele pentru a se potrivi obiectivelor lor.
Aceste capabilități contribuie colectiv la amenințarea reprezentată de SPECTRALVIPER, permițând atacatorului să execute diverse activități nesigure, menținând în același timp persistența și controlul asupra sistemului compromis.
Conexiune potențială cu alte grupuri de criminali cibernetici
În special, activitățile asociate cu REF2754 prezintă asemănări tactice cu un alt grup de amenințare denumit REF4322. Cel din urmă grup este cunoscut pentru că vizează în primul rând entitățile vietnameze și că implementează un implant post-exploatare cunoscut sub numele de PHOREAL (cunoscut și ca Rizzo).
Aceste conexiuni au condus la ipoteza că atât grupurile de activitate REF4322, cât și REF2754 pot reprezenta campanii coordonate orchestrate de o entitate de amenințare vietnameză afiliată statului. Implicațiile acestei posibilități subliniază potențiala implicare a actorilor statului național în aceste operațiuni cibernetice sofisticate și direcționate.
