SPECTRALVIPER Malware
Vietnamské verejné spoločnosti sa stali terčom sofistikovaného útoku využívajúceho novo identifikované zadné vrátka s názvom SPECTRALVIPER. SPECTRALVIPER je pokročilý x64 backdoor, ktorý je značne zahmlený a predtým nebol zverejnený. Tento ohrozujúci nástroj má rôzne možnosti vrátane načítania a vloženia PE, nahrávania a sťahovania súborov, manipulácie so súbormi a adresármi, ako aj odcudzenia identity.
Aktér hrozby stojaci za týmito útokmi bol identifikovaný a sledovaný ako REF2754. Tento herec je spájaný s vietnamskou hrozbou známou pod viacerými menami, vrátane APT32 , Canvas Cyclone (predtým Bismuth), Cobalt Kitty a OceanLotus. To naznačuje prepojenie medzi prebiehajúcou kampaňou a aktivitami tejto skupiny hrozieb.
Obsah
SPECTRALVIPER je nasadený popri iných malvérových hrozbách
Ohrozujúce aktivity zahŕňajú použitie pomôcky SysInternals ProcDump na uľahčenie načítania nepodpísaného súboru DLL obsahujúceho DONUTLOADER. Tento zavádzač je špeciálne nakonfigurovaný na načítanie SPECTRALVIPER spolu s ďalšími variantmi malvéru, ako sú P8LOADER a POWERSEAL.
SPECRALVIPER po načítaní nadviaže komunikáciu so serverom riadeným aktérom hrozby. Zostáva v nečinnom stave a čaká na ďalšie pokyny. Aby sa vyhlo analýze, SPECTRALVIPER využíva zatemňovacie techniky, ako je sploštenie kontrolného toku, čo sťažuje dešifrovanie jeho funkčnosti.
P8LOADER, napísaný v C++, má schopnosť vykonávať ľubovoľné užitočné zaťaženia, buď zo súboru alebo priamo z pamäte. Okrem toho aktéri hrozieb využívajú prispôsobený spúšťač PowerShell s názvom POWERSEAL, ktorý sa špecializuje na vykonávanie dodaných skriptov alebo príkazov PowerShell.
V SPECTRALVIPER sa nachádzajú viaceré hroziace schopnosti
SPECTRALVIPER vykazuje celý rad schopností, ktoré prispievajú k jeho škodlivým aktivitám. Vďaka funkcii načítania a vloženia PE môže SPECTRALVIPER načítať a vložiť spustiteľné súbory, pričom podporuje architektúry x86 aj x64. Táto funkcia umožňuje malvéru spustiť zlý kód v rámci legitímnych procesov, čím efektívne maskuje svoje aktivity a vyhýba sa detekcii.
Ďalšou pozoruhodnou schopnosťou SPECTRALVIPER je jeho schopnosť vydávať sa za bezpečnostné tokeny. Odcudzením identity týchto tokenov môže malvér získať zvýšené privilégiá a obísť určité bezpečnostné opatrenia. Tento neoprávnený prístup poskytuje útočníkovi možnosť manipulovať s citlivými zdrojmi a vykonávať akcie nad rámec ich autorizovaného rozsahu.
Okrem toho má SPECTRALVIPER schopnosť sťahovať a nahrávať súbory do az napadnutého systému. Táto funkcia umožňuje útočníkovi preniknúť citlivé údaje zo stroja obete alebo dodať ďalšie škodlivé dáta, čím sa rozšíri ich kontrola a vytrvalosť v napadnutom prostredí.
Okrem toho môžu zadné vrátka manipulovať so súbormi a adresármi v napadnutom systéme. To zahŕňa vytváranie, mazanie, upravovanie a presúvanie súborov alebo adresárov. Uplatnením kontroly nad súborovým systémom obete útočník získa rozsiahle právomoci na manipuláciu a manipuláciu so súbormi a adresármi tak, aby vyhovovali ich cieľom.
Tieto schopnosti spoločne prispievajú k hrozbe, ktorú predstavuje SPECTRALVIPER, umožňujúc útočníkovi vykonávať rôzne nebezpečné aktivity pri zachovaní perzistencie a kontroly nad napadnutým systémom.
Potenciálne spojenie s inými kyberzločineckými skupinami
Činnosti spojené s REF2754 vykazujú taktické podobnosti s inou skupinou hrozieb označenou ako REF4322. Posledná skupina je známa tým, že sa primárne zameriava na vietnamské subjekty a používa implantát po vykorisťovaní známy ako PHOREAL (tiež známy ako Rizzo).
Tieto prepojenia viedli k hypotéze, že skupiny aktivít REF4322 aj REF2754 môžu predstavovať koordinované kampane organizované vietnamskou hrozbou spojenou so štátom. Dôsledky tejto možnosti podčiarkujú potenciálne zapojenie aktérov národných štátov do týchto sofistikovaných a cielených kybernetických operácií.
