SPECTRALVIPER Skadlig programvara
Vietnamesiska offentliga företag har blivit måltavlor för en sofistikerad attack med en nyligen identifierad bakdörr som heter SPECTRALVIPER. SPECTRALVIPER är en avancerad x64-bakdörr som är kraftigt fördunklad och tidigare var okänd. Detta hotfulla verktyg har olika funktioner, inklusive PE-laddning och -injektion, filuppladdning och -nedladdning, fil- och katalogmanipulation, samt token-imitation.
Hotaktören bakom dessa attacker har identifierats och spårats som REF2754. Den här skådespelaren är associerad med en vietnamesisk hotgrupp känd under flera namn, inklusive APT32 , Canvas Cyclone (tidigare Bismuth), Cobalt Kitty och OceanLotus. Detta tyder på ett samband mellan den pågående kampanjen och denna hotgrupps aktiviteter.
Innehållsförteckning
SPECTRALVIPER distribueras tillsammans med andra hot mot skadlig programvara
De hotfulla aktiviteterna involverar användningen av SysInternals ProcDump-verktyget för att underlätta laddningen av en osignerad DLL-fil som innehåller DONUTLOADER. Den här laddaren är specifikt konfigurerad för att ladda SPECTRALVIPER, tillsammans med andra malware-varianter, såsom P8LOADER och POWERSEAL.
SPECTRALVIPER, när den har laddats, etablerar kommunikation med en server som kontrolleras av hotaktören. Den förblir i ett vilande tillstånd i väntan på ytterligare instruktioner. För att undvika analys använder SPECTRALVIPER obfuskeringstekniker som kontrollflödesutjämning, vilket gör det mer utmanande att dechiffrera dess funktionalitet.
P8LOADER, skriven i C++, har förmågan att exekvera godtyckliga nyttolaster, antingen från en fil eller direkt från minnet. Dessutom använder hotaktörerna en anpassad PowerShell-löpare som heter POWERSEAL, som är specialiserad på att exekvera medföljande PowerShell-skript eller kommandon.
Flera hotfulla funktioner finns i SPECTRALVIPER
SPECTRALVIPER uppvisar en rad funktioner som bidrar till dess skadliga aktiviteter. Med sin PE-laddnings- och injiceringsfunktionalitet kan SPECTRALVIPER ladda och injicera körbara filer, som stöder både x86- och x64-arkitekturer. Den här funktionen gör det möjligt för skadlig programvara att exekvera en dålig kod inom legitima processer, vilket effektivt kamouflerar dess aktiviteter och undviker upptäckt.
En annan anmärkningsvärd förmåga hos SPECTRALVIPER är dess förmåga att imitera säkerhetstokens. Genom att imitera dessa tokens kan skadlig programvara få förhöjda privilegier och kringgå vissa säkerhetsåtgärder. Denna obehöriga åtkomst ger angriparen möjligheten att manipulera känsliga resurser och utföra åtgärder utanför deras auktoriserade räckvidd.
Dessutom har SPECTRALVIPER förmågan att ladda ner och ladda upp filer till och från det komprometterade systemet. Denna funktion gör det möjligt för angriparen att exfiltrera känslig data från offrets dator eller leverera ytterligare skadliga nyttolaster, vilket utökar deras kontroll och uthållighet inom den utsatta miljön.
Dessutom kan bakdörren manipulera filer och kataloger på det komprometterade systemet. Detta inkluderar att skapa, ta bort, ändra och flytta filer eller kataloger. Genom att utöva kontroll över offrets filsystem får angriparen omfattande auktoritet att manipulera och manipulera filerna och katalogerna för att passa deras mål.
Dessa förmågor bidrar tillsammans till hotet från SPECTRALVIPER, vilket gör att angriparen kan utföra olika osäkra aktiviteter samtidigt som den behåller uthållighet och kontroll över det komprometterade systemet.
Potentiell koppling till andra cyberkriminella grupper
Noterbart är att aktiviteterna som är förknippade med REF2754 uppvisar taktiska likheter med en annan hotgrupp som kallas REF4322. Den senare gruppen är känd för att främst rikta in sig på vietnamesiska enheter och använda ett implantat efter exploatering som kallas PHOREAL (även känt som Rizzo).
Dessa kopplingar har lett till hypotesen att både REF4322 och REF2754 aktivitetsgrupper kan representera samordnade kampanjer orkestrerade av en vietnamesisk hotenhet som är knuten till staten. Konsekvenserna av denna möjlighet understryker den potentiella inblandningen av nationalstatliga aktörer i dessa sofistikerade och riktade cyberoperationer.
