Zlonamerna programska oprema SPECTRALVIPER
Vietnamska javna podjetja so postala tarča prefinjenega napada z uporabo na novo odkritih stranskih vrat, imenovanih SPECTRALVIPER. SPECTRALVIPER je napredna stranska vrata x64, ki so močno zakrita in prej niso bila razkrita. To nevarno orodje ima različne zmožnosti, vključno z nalaganjem in vstavljanjem PE, nalaganjem in prenosom datotek, manipulacijo z datotekami in imeniki ter poosebljanjem žetonov.
Grožnja, ki stoji za temi napadi, je bila identificirana in izsledena kot REF2754. Ta igralec je povezan z vietnamsko skupino groženj, znano pod številnimi imeni, vključno z APT32 , Canvas Cyclone (prej Bismuth), Cobalt Kitty in OceanLotus. To kaže na povezavo med tekočo kampanjo in dejavnostmi te grozilne skupine.
Kazalo
SPECTRALVIPER je nameščen skupaj z drugimi grožnjami zlonamerne programske opreme
Nevarne dejavnosti vključujejo uporabo pripomočka SysInternals ProcDump za olajšanje nalaganja nepodpisane datoteke DLL, ki vsebuje DONUTLOADER. Ta nalagalnik je posebej konfiguriran za nalaganje SPECTRALVIPER, skupaj z drugimi različicami zlonamerne programske opreme, kot sta P8LOADER in POWERSEAL.
Ko je SPECTRALVIPER naložen, vzpostavi komunikacijo s strežnikom, ki ga nadzoruje akter grožnje. Ostaja v stanju mirovanja in čaka na nadaljnja navodila. Da bi se izognil analizi, SPECTRALVIPER uporablja tehnike zamegljevanja, kot je sploščenje toka nadzora, zaradi česar je dešifriranje njegove funkcionalnosti težje.
P8LOADER, napisan v C++, ima zmožnost izvajanja poljubnih uporabnih obremenitev, bodisi iz datoteke ali neposredno iz pomnilnika. Poleg tega akterji groženj uporabljajo prilagojen izvajalec PowerShell, imenovan POWERSEAL, ki je specializiran za izvajanje priloženih skriptov ali ukazov PowerShell.
V SPECTRALVIPER najdemo številne nevarne zmožnosti
SPECTRALVIPER izkazuje vrsto zmogljivosti, ki prispevajo k njegovim škodljivim dejavnostim. S svojo funkcijo nalaganja in vbrizgavanja PE lahko SPECTRALVIPER naloži in vbrizga izvršljive datoteke, pri čemer podpira arhitekturi x86 in x64. Ta funkcija omogoča zlonamerni programski opremi, da izvede slabo kodo znotraj zakonitih procesov, s čimer učinkovito zakamuflira svoje dejavnosti in se izogne odkrivanju.
Druga omembe vredna zmogljivost SPECTRALVIPER je njegova zmožnost poosebljanja varnostnih žetonov. Z lažnim predstavljanjem teh žetonov lahko zlonamerna programska oprema pridobi povišane privilegije in se tako izogne določenim varnostnim ukrepom. Ta nepooblaščen dostop napadalcu omogoča, da manipulira z občutljivimi viri in izvaja dejanja, ki presegajo njihov dovoljeni obseg.
Poleg tega ima SPECTRALVIPER zmožnost prenosa in nalaganja datotek v in iz ogroženega sistema. Ta funkcionalnost omogoča napadalcu, da iz žrtvinega stroja izloči občutljive podatke ali dostavi dodatne zlonamerne obremenitve, s čimer razširi svoj nadzor in obstojnost v ogroženem okolju.
Poleg tega lahko stranska vrata manipulirajo z datotekami in imeniki v ogroženem sistemu. To vključuje ustvarjanje, brisanje, spreminjanje in premikanje datotek ali imenikov. Z izvajanjem nadzora nad datotečnim sistemom žrtve napadalec pridobi široka pooblastila za manipulacijo in manipulacijo datotek in imenikov v skladu s svojimi cilji.
Te zmogljivosti skupaj prispevajo k grožnji, ki jo predstavlja SPECTRALVIPER, in napadalcu omogočajo izvajanje različnih nevarnih dejavnosti, hkrati pa ohranjajo vztrajnost in nadzor nad ogroženim sistemom.
Možna povezava z drugimi skupinami kibernetskega kriminala
Predvsem dejavnosti, povezane z REF2754, kažejo taktične podobnosti z drugo skupino groženj, imenovano REF4322. Slednja skupina je znana po tem, da cilja predvsem na vietnamske subjekte in uporablja vsadek po izkoriščanju, znan kot PHOREAL (znan tudi kot Rizzo).
Te povezave so vodile do hipoteze, da lahko obe skupini dejavnosti REF4322 in REF2754 predstavljata usklajeni kampanji, ki ju orkestrira vietnamski subjekt za grožnje, povezan z državo. Posledice te možnosti poudarjajo potencialno vpletenost akterjev nacionalnih držav v te sofisticirane in ciljno usmerjene kibernetske operacije.
