Malware SPECTRALVIPER
Kompanitë publike vietnameze janë bërë objektiva të një sulmi të sofistikuar duke përdorur një derë të pasme të sapoidentifikuar të quajtur SPECTRALVIPER. SPECTRALVIPER është një derë e pasme e avancuar x64 që është shumë e turbullt dhe ishte e pazbuluar më parë. Ky mjet kërcënues posedon aftësi të ndryshme, duke përfshirë ngarkimin dhe injektimin e PE, ngarkimin dhe shkarkimin e skedarëve, manipulimin e skedarëve dhe drejtorive, si dhe imitimin e shenjave.
Aktori i kërcënimit pas këtyre sulmeve është identifikuar dhe gjurmuar si REF2754. Ky aktor është i lidhur me një grup kërcënimi vietnamez të njohur me emra të shumtë, duke përfshirë APT32 , Canvas Cyclone (ish Bismuth), Cobalt Kitty dhe OceanLotus. Kjo sugjeron një lidhje midis fushatës në vazhdim dhe aktiviteteve të këtij grupi kërcënimi.
Tabela e Përmbajtjes
SPECTRALVIPER është vendosur krahas kërcënimeve të tjera malware
Aktivitetet kërcënuese përfshijnë përdorimin e programit SysInternals ProcDump për të lehtësuar ngarkimin e një skedari DLL të panënshkruar që përmban DONUTLOADER. Ky ngarkues është konfiguruar posaçërisht për të ngarkuar SPECTRALVIPER, së bashku me variante të tjera malware, si P8LOADER dhe POWERSEAL.
SPECTRALVIPER, pasi të ngarkohet, vendos komunikim me një server të kontrolluar nga aktori i kërcënimit. Ajo mbetet në gjendje të fjetur, në pritje të udhëzimeve të mëtejshme. Për t'iu shmangur analizës, SPECTRALVIPER përdor teknika mjegullimi si rrafshimi i rrjedhës së kontrollit, duke e bërë më sfidues deshifrimin e funksionalitetit të tij.
P8LOADER, i shkruar në C++, posedon aftësinë për të ekzekutuar ngarkesa arbitrare, qoftë nga një skedar ose direkt nga memorja. Për më tepër, aktorët e kërcënimit përdorin një program të personalizuar PowerShell të quajtur POWERSEAL, i cili është i specializuar në ekzekutimin e skripteve ose komandave të furnizuara të PowerShell.
Aftësi të shumta kërcënuese të gjetura në SPECTRALVIPER
SPECTRALVIPER shfaq një sërë aftësish që kontribuojnë në aktivitetet e tij të dëmshme. Me funksionalitetin e tij të ngarkimit dhe injektimit PE, SPECTRALVIPER mund të ngarkojë dhe injektojë skedarë të ekzekutueshëm, duke mbështetur të dyja arkitekturat x86 dhe x64. Kjo veçori i mundëson malware të ekzekutojë një kod të keq brenda proceseve legjitime, duke kamufluar në mënyrë efektive aktivitetet e tij dhe duke shmangur zbulimin.
Një aftësi tjetër e rëndësishme e SPECTRALVIPER është aftësia e tij për të imituar argumentet e sigurisë. Duke imituar këto shenja, malware mund të fitojë privilegje të larta, duke anashkaluar disa masa sigurie në vend. Ky akses i paautorizuar i jep sulmuesit mundësinë për të manipuluar burimet e ndjeshme dhe për të kryer veprime përtej fushëveprimit të tyre të autorizuar.
Për më tepër, SPECTRALVIPER posedon aftësinë për të shkarkuar dhe ngarkuar skedarë në dhe nga sistemi i komprometuar. Ky funksionalitet i lejon sulmuesit të eksplorojë të dhëna të ndjeshme nga makina e viktimës ose të japë ngarkesa shtesë me qëllim të keq, duke zgjeruar kontrollin dhe qëndrueshmërinë e tyre brenda mjedisit të komprometuar.
Përveç kësaj, backdoor mund të manipulojë skedarët dhe drejtoritë në sistemin e komprometuar. Kjo përfshin krijimin, fshirjen, modifikimin dhe lëvizjen e skedarëve ose drejtorive. Duke ushtruar kontroll mbi sistemin e skedarëve të viktimës, sulmuesi fiton autoritet të gjerë për të manipuluar dhe manipuluar skedarët dhe drejtoritë për t'iu përshtatur objektivave të tyre.
Këto aftësi kontribuojnë kolektivisht në kërcënimin e paraqitur nga SPECTRALVIPER, duke i mundësuar sulmuesit të ekzekutojë aktivitete të ndryshme të pasigurta duke ruajtur këmbënguljen dhe kontrollin mbi sistemin e komprometuar.
Lidhje e mundshme me grupe të tjera kriminale kibernetike
Veçanërisht, aktivitetet e lidhura me REF2754 shfaqin ngjashmëri taktike me një grup tjetër kërcënimi të referuar si REF4322. Grupi i fundit është i njohur për shënjestrimin e entiteteve vietnameze kryesisht dhe vendosjen e një implanti pas shfrytëzimit të njohur si PHOREAL (i njohur gjithashtu si Rizzo).
Këto lidhje kanë çuar në hipotezën se të dy grupet e aktivitetit REF4322 dhe REF2754 mund të përfaqësojnë fushata të koordinuara të orkestruara nga një entitet kërcënues vietnamez i lidhur me shtetin. Implikimet e kësaj mundësie nënvizojnë përfshirjen e mundshme të aktorëve të shteteve kombëtare në këto operacione kibernetike të sofistikuara dhe të synuara.
