SPECTRALVIPER Malware
Ang mga pampublikong kumpanya ng Vietnam ay naging target ng isang sopistikadong pag-atake gamit ang isang bagong natukoy na backdoor na tinatawag na SPECTRALVIPER. Ang SPECTRALVIPER ay isang advanced na x64 na backdoor na labis na na-obfuscate at dati ay hindi ibinunyag. Ang nagbabantang tool na ito ay nagtataglay ng iba't ibang mga kakayahan, kabilang ang paglo-load at pag-iniksyon ng PE, pag-upload at pag-download ng file, pagmamanipula ng file at direktoryo, pati na rin ang pagpapanggap ng token.
Ang banta ng aktor sa likod ng mga pag-atake na ito ay natukoy at nasubaybayan bilang REF2754. Ang aktor na ito ay nauugnay sa isang Vietnamese threat group na kilala sa maraming pangalan, kabilang ang APT32 , Canvas Cyclone (dating Bismuth), Cobalt Kitty at OceanLotus. Nagmumungkahi ito ng koneksyon sa pagitan ng patuloy na kampanya at mga aktibidad ng grupong ito ng pagbabanta.
Talaan ng mga Nilalaman
Ang SPECTRALVIPER ay Ini-deploy Kasabay ng Iba Pang Mga Banta sa Malware
Ang mga aktibidad na nagbabanta ay kinabibilangan ng paggamit ng SysInternals ProcDump utility upang mapadali ang paglo-load ng isang hindi pa napirmahang DLL file na naglalaman ng DONUTLOADER. Ang loader na ito ay partikular na na-configure upang i-load ang SPECTRALVIPER, kasama ng iba pang mga variant ng malware, gaya ng P8LOADER at POWERSEAL.
Ang SPECTRALVIPER, kapag na-load, ay nagtatatag ng komunikasyon sa isang server na kinokontrol ng aktor ng pagbabanta. Ito ay nananatili sa isang dormant na estado, naghihintay ng karagdagang mga tagubilin. Para maiwasan ang pagsusuri, gumagamit ang SPECTRALVIPER ng mga diskarte sa obfuscation tulad ng control flow flattening, na ginagawang mas mahirap na maunawaan ang functionality nito.
Ang P8LOADER, na nakasulat sa C++, ay nagtataglay ng kakayahang magsagawa ng mga arbitrary na payload, alinman mula sa isang file o direkta mula sa memorya. Bukod pa rito, gumagamit ang mga threat actor ng customized na PowerShell runner na tinatawag na POWERSEAL, na dalubhasa sa pagpapatupad ng mga ibinigay na PowerShell script o command.
Maramihang Mga Kakayahang Pagbabanta na Natagpuan sa SPECTRALVIPER
Ang SPECTRALVIPER ay nagpapakita ng isang hanay ng mga kakayahan na nag-aambag sa mga nakakapinsalang aktibidad nito. Sa pag-load ng PE at pag-iniksyon nito, ang SPECTRALVIPER ay maaaring mag-load at mag-inject ng mga executable na file, na sumusuporta sa parehong x86 at x64 na mga arkitektura. Ang tampok na ito ay nagbibigay-daan sa malware na magsagawa ng masamang code sa loob ng mga lehitimong proseso, na epektibong nagkukunwari sa mga aktibidad nito at umiiwas sa pagtuklas.
Ang isa pang kapansin-pansing kakayahan ng SPECTRALVIPER ay ang kakayahan nitong magpanggap bilang mga security token. Sa pamamagitan ng pagpapanggap sa mga token na ito, ang malware ay maaaring makakuha ng mataas na mga pribilehiyo, na maiiwasan ang ilang partikular na hakbang sa seguridad. Ang hindi awtorisadong pag-access na ito ay nagbibigay sa umaatake ng kakayahang manipulahin ang mga sensitibong mapagkukunan at magsagawa ng mga aksyon na lampas sa kanilang awtorisadong saklaw.
Higit pa rito, ang SPECTRALVIPER ay nagtataglay ng kakayahang mag-download at mag-upload ng mga file papunta at mula sa nakompromisong system. Binibigyang-daan ng functionality na ito ang attacker na i-exfiltrate ang sensitibong data mula sa makina ng biktima o maghatid ng mga karagdagang nakakahamak na payload, na nagpapalawak ng kanilang kontrol at pagtitiyaga sa loob ng nakompromisong kapaligiran.
Bilang karagdagan, maaaring manipulahin ng backdoor ang mga file at direktoryo sa nakompromisong sistema. Kabilang dito ang paggawa, pagtanggal, pagbabago, at paglipat ng mga file o direktoryo. Sa pamamagitan ng paggamit ng kontrol sa file system ng biktima, ang umaatake ay nakakakuha ng malawak na awtoridad na manipulahin at manipulahin ang mga file at direktoryo upang umangkop sa kanilang mga layunin.
Ang mga kakayahang ito ay sama-samang nag-aambag sa banta na dulot ng SPECTRALVIPER, na nagbibigay-daan sa umaatake na magsagawa ng iba't ibang hindi ligtas na aktibidad habang pinapanatili ang pagtitiyaga at kontrol sa nakompromisong sistema.
Potensyal na Koneksyon sa Iba Pang Cybercriminal Groups
Kapansin-pansin, ang mga aktibidad na nauugnay sa REF2754 ay nagpapakita ng mga taktikal na pagkakatulad sa isa pang grupo ng pagbabanta na tinutukoy bilang REF4322. Ang huling grupo ay kilala sa pangunahing pag-target sa mga entity ng Vietnam at pag-deploy ng post-exploitation implant na kilala bilang PHOREAL (kilala rin bilang Rizzo).
Ang mga koneksyon na ito ay humantong sa hypothesis na ang parehong REF4322 at REF2754 na mga grupo ng aktibidad ay maaaring kumatawan sa mga coordinated campaign na inayos ng isang Vietnamese threat entity na kaanib ng estado. Ang mga implikasyon ng posibilidad na ito ay binibigyang-diin ang potensyal na pagkakasangkot ng mga aktor ng bansa-estado sa mga sopistikado at naka-target na operasyong cyber na ito.
