SPECTRALVIPER Malware
Вијетнамске јавне компаније постале су мете софистицираног напада користећи новоидентификована позадинска врата под називом СПЕЦТРАЛВИПЕР. СПЕЦТРАЛВИПЕР је напредни к64 бацкдоор који је у великој мери замагљен и раније није био откривен. Овај претећи алат поседује различите могућности, укључујући ПЕ учитавање и убризгавање, отпремање и преузимање датотека, манипулацију датотекама и директоријумом, као и лажно представљање токена.
Актер претње иза ових напада је идентификован и праћен као РЕФ2754. Овај глумац је повезан са вијетнамском групом претњи познатом по више имена, укључујући АПТ32 , Цанвас Цицлоне (раније Бисмут), Цобалт Китти и ОцеанЛотус. Ово указује на везу између кампање која је у току и активности ове претње групе.
Преглед садржаја
СПЕЦТРАЛВИПЕР се примењује заједно са другим претњама од злонамерног софтвера
Претеће активности укључују коришћење услужног програма СисИнтерналс ПроцДумп да би се олакшало учитавање непотписане ДЛЛ датотеке која садржи ДОНУТЛОАДЕР. Овај учитавач је посебно конфигурисан да учитава СПЕЦТРАЛВИПЕР, заједно са другим варијантама малвера, као што су П8ЛОАДЕР и ПОВЕРСЕАЛ.
СПЕЦТРАЛВИПЕР, када се једном учита, успоставља комуникацију са сервером који контролише актер претње. Остаје у стању мировања, чекајући даља упутства. Да би избегао анализу, СПЕЦТРАЛВИПЕР користи технике замагљивања као што је изравнавање контролног тока, што га чини изазовнијим за дешифровање његове функционалности.
П8ЛОАДЕР, написан у Ц++, поседује способност да изврши произвољно оптерећење, било из датотеке или директно из меморије. Поред тога, актери претњи користе прилагођени ПоверСхелл покретач под називом ПОВЕРСЕАЛ, који је специјализован за извршавање испоручених ПоверСхелл скрипти или команди.
Вишеструке претње могућности пронађене у СПЕЦТРАЛВИПЕР-у
СПЕЦТРАЛВИПЕР показује низ способности које доприносе његовим штетним активностима. Са својом ПЕ учитавањем и функционалношћу убризгавања, СПЕЦТРАЛВИПЕР може да учитава и убацује извршне датотеке, подржавајући и к86 и к64 архитектуре. Ова функција омогућава злонамерном софтверу да изврши лош код у оквиру легитимних процеса, ефикасно камуфлирајући своје активности и избегавајући откривање.
Још једна значајна способност СПЕЦТРАЛВИПЕР-а је његова способност лажног представљања сигурносних токена. Лажним представљањем ових токена, злонамерни софтвер може да стекне повишене привилегије, заобилазећи одређене безбедносне мере. Овај неовлашћени приступ даје нападачу могућност да манипулише осетљивим ресурсима и изврши радње изван њиховог овлашћења.
Штавише, СПЕЦТРАЛВИПЕР поседује могућност преузимања и отпремања датотека на и са компромитованог система. Ова функционалност омогућава нападачу да ексфилтрира осетљиве податке са жртвине машине или испоручи додатне злонамерне корисне податке, проширујући њихову контролу и постојаност у компромитованом окружењу.
Поред тога, бацкдоор може да манипулише датотекама и директоријумима на компромитованом систему. Ово укључује креирање, брисање, модификовање и премештање датотека или директоријума. Вршењем контроле над системом датотека жртве, нападач добија широка овлашћења да манипулише и манипулише датотекама и директоријумима у складу са њиховим циљевима.
Ове способности заједно доприносе претњи коју представља СПЕЦТРАЛВИПЕР, омогућавајући нападачу да изврши различите небезбедне активности уз задржавање упорности и контроле над компромитованим системом.
Потенцијална повезаност са другим сајбер криминалним групама
Значајно је да активности повезане са РЕФ2754 показују тактичке сличности са другом групом претњи која се назива РЕФ4322. Ова друга група је позната по томе што циља првенствено на вијетнамске ентитете и поставља имплантат након експлоатације познат као ПХОРЕАЛ (познат и као Риззо).
Ове везе су довеле до хипотезе да и РЕФ4322 и РЕФ2754 групе активности могу представљати координиране кампање које је оркестрирао вијетнамски ентитет претње повезан са државом. Импликације ове могућности наглашавају потенцијално учешће актера националних држава у овим софистицираним и циљаним сајбер операцијама.
