Вредоносное ПО SPECTRALVIPER
Вьетнамские публичные компании стали объектами изощренной атаки с использованием недавно обнаруженного бэкдора под названием SPECTRALVIPER. SPECTRALVIPER — это продвинутый бэкдор x64, сильно запутанный и ранее неизвестный. Этот угрожающий инструмент обладает различными возможностями, включая загрузку и внедрение PE, загрузку и загрузку файлов, манипулирование файлами и каталогами, а также олицетворение токенов.
Злоумышленник, стоящий за этими атаками, был идентифицирован и отслежен как REF2754. Этот субъект связан с вьетнамской группой угроз, известной под несколькими именами, включая APT32 , Canvas Cyclone (ранее Bismuth), Cobalt Kitty и OceanLotus. Это предполагает связь между продолжающейся кампанией и действиями этой группы угроз.
Оглавление
SPECTRALVIPER развертывается вместе с другими вредоносными программами
Угрожающие действия включают использование утилиты SysInternals ProcDump для облегчения загрузки неподписанного файла DLL, содержащего DONUTLOADER. Этот загрузчик специально настроен для загрузки SPECTRALVIPER вместе с другими вариантами вредоносных программ, такими как P8LOADER и POWERSEAL.
SPECTRALVIPER после загрузки устанавливает связь с сервером, контролируемым злоумышленником. Он остается в спящем состоянии, ожидая дальнейших указаний. Чтобы избежать анализа, SPECTRALVIPER использует методы запутывания, такие как сглаживание потока управления, что усложняет расшифровку его функций.
P8LOADER, написанный на C++, может выполнять произвольные полезные нагрузки либо из файла, либо непосредственно из памяти. Кроме того, злоумышленники используют специализированную программу запуска PowerShell под названием POWERSEAL, которая специализируется на выполнении предоставленных сценариев или команд PowerShell.
В SPECTRALVIPER обнаружены многочисленные угрожающие возможности
SPECTRALVIPER демонстрирует ряд возможностей, которые способствуют его вредоносной деятельности. Благодаря функциям загрузки и внедрения PE SPECTRALVIPER может загружать и внедрять исполняемые файлы, поддерживая архитектуры x86 и x64. Эта функция позволяет вредоносным программам запускать неверный код в легитимных процессах, эффективно маскируя свою деятельность и избегая обнаружения.
Еще одна заслуживающая внимания возможность SPECTRALVIPER — возможность олицетворения токенов безопасности. Выдавая себя за эти токены, вредоносное ПО может получить повышенные привилегии в обход определенных мер безопасности. Этот несанкционированный доступ дает злоумышленнику возможность манипулировать конфиденциальными ресурсами и выполнять действия, выходящие за рамки его авторизованной области.
Кроме того, SPECTRALVIPER имеет возможность загружать и загружать файлы в скомпрометированную систему и из нее. Эта функциональность позволяет злоумышленнику извлекать конфиденциальные данные с компьютера жертвы или доставлять дополнительные вредоносные полезные нагрузки, расширяя их контроль и устойчивость в скомпрометированной среде.
Кроме того, бэкдор может манипулировать файлами и каталогами в скомпрометированной системе. Это включает в себя создание, удаление, изменение и перемещение файлов или каталогов. Осуществляя контроль над файловой системой жертвы, злоумышленник получает широкие полномочия для манипулирования файлами и каталогами в соответствии со своими целями.
Эти возможности в совокупности способствуют угрозе, исходящей от SPECTRALVIPER, позволяя злоумышленнику выполнять различные небезопасные действия, сохраняя при этом постоянство и контроль над скомпрометированной системой.
Возможная связь с другими киберпреступными группами
Примечательно, что действия, связанные с REF2754, демонстрируют тактическое сходство с другой группой угроз, именуемой REF4322. Последняя группа известна тем, что нацелена в первую очередь на вьетнамские организации и использует имплантат после эксплуатации, известный как PHOREAL (также известный как Rizzo).
Эти связи привели к гипотезе о том, что группы активности REF4322 и REF2754 могут представлять собой скоординированные кампании, организованные вьетнамской организацией, представляющей угрозу, связанной с государством. Последствия этой возможности подчеркивают потенциальное участие субъектов национального государства в этих сложных и целенаправленных кибероперациях.
