SPECTRALVIPER มัลแวร์
บริษัทมหาชนของเวียดนามตกเป็นเป้าหมายของการโจมตีที่ซับซ้อนโดยใช้ระบบลับที่เรียกว่า SPECTRALVIPER SPECTRALVIPER เป็นแบ็คดอร์ x64 ขั้นสูงที่มีความซับซ้อนอย่างมากและไม่เคยถูกเปิดเผยมาก่อน เครื่องมือคุกคามนี้มีความสามารถที่หลากหลาย รวมถึงการโหลดและฉีด PE การอัปโหลดและดาวน์โหลดไฟล์ การจัดการไฟล์และไดเร็กทอรี รวมถึงการเลียนแบบโทเค็น
ผู้คุกคามที่อยู่เบื้องหลังการโจมตีเหล่านี้ได้รับการระบุและติดตามเป็น REF2754 นักแสดงรายนี้มีความเกี่ยวข้องกับกลุ่มภัยคุกคามชาวเวียดนามที่รู้จักกันในชื่อต่างๆ รวมถึง APT32 , Canvas Cyclone (ชื่อเดิมคือ Bismuth), Cobalt Kitty และ OceanLotus สิ่งนี้ชี้ให้เห็นความเชื่อมโยงระหว่างแคมเปญที่กำลังดำเนินอยู่และกิจกรรมของกลุ่มภัยคุกคามนี้
สารบัญ
SPECTRALVIPER ถูกปรับใช้ควบคู่ไปกับภัยคุกคามจากมัลแวร์อื่นๆ
กิจกรรมที่คุกคามเกี่ยวข้องกับการใช้ยูทิลิตี้ SysInternals ProcDump เพื่ออำนวยความสะดวกในการโหลดไฟล์ DLL ที่ไม่ได้ลงนามซึ่งมี DONUTLOADER ตัวโหลดนี้ได้รับการกำหนดค่าโดยเฉพาะให้โหลด SPECTRALVIPER ควบคู่ไปกับมัลแวร์อื่นๆ เช่น P8LOADER และ POWERSEAL
เมื่อโหลด SPECTRALVIPER จะทำการสื่อสารกับเซิร์ฟเวอร์ที่ควบคุมโดยผู้คุกคาม ยังคงอยู่ในสภาพสงบนิ่ง รอคำแนะนำเพิ่มเติม เพื่อหลบเลี่ยงการวิเคราะห์ SPECTRALVIPER ใช้เทคนิคการทำให้งงงวย เช่น การทำให้โฟลว์ควบคุมราบเรียบ ทำให้ยากต่อการถอดรหัสการทำงานของมัน
P8LOADER ซึ่งเขียนด้วยภาษา C++ มีความสามารถในการดำเนินการเพย์โหลดตามอำเภอใจ ไม่ว่าจะจากไฟล์หรือโดยตรงจากหน่วยความจำ นอกจากนี้ ผู้คุกคามยังใช้ตัวเรียกใช้ PowerShell แบบกำหนดเองที่เรียกว่า POWERSEAL ซึ่งเชี่ยวชาญในการดำเนินการสคริปต์หรือคำสั่ง PowerShell ที่ให้มา
ความสามารถในการคุกคามหลายอย่างที่พบใน SPECTRALVIPER
SPECTRALVIPER แสดงความสามารถที่หลากหลายซึ่งนำไปสู่กิจกรรมที่เป็นอันตราย ด้วยฟังก์ชันการโหลดและการฉีด PE ทำให้ SPECTRALVIPER สามารถโหลดและแทรกไฟล์สั่งการได้ ซึ่งรองรับทั้งสถาปัตยกรรม x86 และ x64 คุณลักษณะนี้ช่วยให้มัลแวร์เรียกใช้โค้ดที่ไม่ถูกต้องภายในกระบวนการที่ถูกต้อง อำพรางกิจกรรมและหลบเลี่ยงการตรวจจับได้อย่างมีประสิทธิภาพ
ความสามารถที่สำคัญอีกอย่างหนึ่งของ SPECTRALVIPER คือความสามารถในการเลียนแบบโทเค็นความปลอดภัย โดยการเลียนแบบโทเค็นเหล่านี้ มัลแวร์สามารถได้รับสิทธิ์ขั้นสูง หลีกเลี่ยงมาตรการรักษาความปลอดภัยบางอย่างที่มีอยู่ การเข้าถึงโดยไม่ได้รับอนุญาตนี้ทำให้ผู้โจมตีสามารถจัดการทรัพยากรที่ละเอียดอ่อนและดำเนินการนอกเหนือขอบเขตที่ได้รับอนุญาต
นอกจากนี้ SPECTRALVIPER ยังมีความสามารถในการดาวน์โหลดและอัพโหลดไฟล์เข้าและออกจากระบบที่ถูกบุกรุก ฟังก์ชันนี้ทำให้ผู้โจมตีสามารถดึงข้อมูลที่ละเอียดอ่อนออกจากเครื่องของเหยื่อหรือส่งเพย์โหลดที่เป็นอันตรายเพิ่มเติม ขยายการควบคุมและการคงอยู่ภายในสภาพแวดล้อมที่ถูกบุกรุก
นอกจากนี้ แบ็คดอร์ยังสามารถจัดการกับไฟล์และไดเร็กทอรีในระบบที่ถูกบุกรุกได้ ซึ่งรวมถึงการสร้าง ลบ แก้ไข และย้ายไฟล์หรือไดเร็กทอรี ด้วยการใช้การควบคุมระบบไฟล์ของเหยื่อ ผู้โจมตีจะได้รับอำนาจอย่างกว้างขวางในการจัดการและจัดการกับไฟล์และไดเร็กทอรีเพื่อให้เหมาะกับวัตถุประสงค์ของพวกเขา
ความสามารถเหล่านี้มีส่วนรวมในการคุกคามที่เกิดจาก SPECTRALVIPER ทำให้ผู้โจมตีสามารถดำเนินกิจกรรมที่ไม่ปลอดภัยต่างๆ ในขณะที่ยังคงรักษาความคงอยู่และควบคุมระบบที่ถูกบุกรุก
การเชื่อมต่อกับกลุ่มอาชญากรไซเบอร์อื่น ๆ
โดยเฉพาะอย่างยิ่ง กิจกรรมที่เกี่ยวข้องกับ REF2754 แสดงความคล้ายคลึงกันทางยุทธวิธีกับกลุ่มภัยคุกคามอื่นที่เรียกว่า REF4322 กลุ่มหลังนี้เป็นที่ทราบกันดีว่ากำหนดเป้าหมายหน่วยงานของเวียดนามเป็นหลักและปรับใช้การสอดใส่หลังการแสวงประโยชน์ที่รู้จักกันในชื่อ PHOREAL (หรือที่รู้จักในชื่อ Rizzo)
ความเชื่อมโยงเหล่านี้นำไปสู่สมมติฐานที่ว่าทั้งกลุ่มกิจกรรม REF4322 และ REF2754 อาจเป็นตัวแทนของการรณรงค์ที่ประสานงานกันซึ่งจัดทำโดยองค์กรภัยคุกคามเวียดนามที่เชื่อมโยงกับรัฐ นัยของความเป็นไปได้นี้เน้นย้ำถึงการมีส่วนร่วมที่เป็นไปได้ของผู้มีบทบาทของรัฐชาติในปฏิบัติการทางไซเบอร์ที่ซับซ้อนและมีเป้าหมายเหล่านี้