SPECTRALVIPER Kötü Amaçlı Yazılım
Vietnam kamu şirketleri, SPECTRALVIPER adlı yeni tanımlanan bir arka kapı kullanan karmaşık bir saldırının hedefi haline geldi. SPECTRALVIPER, büyük ölçüde karartılmış ve daha önce açıklanmayan gelişmiş bir x64 arka kapısıdır. Bu tehdit edici araç, PE yükleme ve enjeksiyon, dosya yükleme ve indirme, dosya ve dizin manipülasyonu ve belirteç kimliğine bürünme dahil olmak üzere çeşitli yeteneklere sahiptir.
Bu saldırıların arkasındaki tehdit aktörü, REF2754 olarak tanımlandı ve izlendi. Bu aktör, APT32 , Canvas Cyclone (eski adıyla Bizmuth), Cobalt Kitty ve OceanLotus dahil olmak üzere birden çok adla bilinen Vietnamlı bir tehdit grubuyla ilişkilidir. Bu, devam eden kampanya ile bu tehdit grubunun faaliyetleri arasında bir bağlantı olduğunu gösteriyor.
İçindekiler
SPECTRALVIPER, Diğer Kötü Amaçlı Yazılım Tehditlerinin Yanında Dağıtılır
Tehdit edici faaliyetler, DONUTLOADER içeren imzasız bir DLL dosyasının yüklenmesini kolaylaştırmak için SysInternals ProcDump yardımcı programının kullanımını içerir. Bu yükleyici, P8LOADER ve POWERSEAL gibi diğer kötü amaçlı yazılım varyantlarının yanı sıra SPECTRALVIPER'ı yüklemek için özel olarak yapılandırılmıştır.
SPECTRALVIPER yüklendikten sonra, tehdit aktörü tarafından kontrol edilen bir sunucu ile iletişim kurar. Daha fazla talimat beklerken uykuda kalır. Analizden kaçınmak için SPECTRALVIPER, kontrol akışını düzleştirme gibi şaşırtma teknikleri kullanır ve bu da işlevselliğini deşifre etmeyi daha zor hale getirir.
C++ ile yazılmış P8LOADER, bir dosyadan veya doğrudan bellekten rastgele yükleri yürütme yeteneğine sahiptir. Ek olarak, tehdit aktörleri, sağlanan PowerShell betiklerini veya komutlarını yürütme konusunda uzmanlaşmış POWERSEAL adlı özelleştirilmiş bir PowerShell çalıştırıcısı kullanır.
SPECTRALVIPER’da Bulunan Çoklu Tehdit Yetenekleri
SPECTRALVIPER, zararlı faaliyetlerine katkıda bulunan bir dizi yetenek sergiler. PE yükleme ve enjeksiyon işlevselliği ile SPECTRALVIPER, hem x86 hem de x64 mimarilerini destekleyen yürütülebilir dosyaları yükleyebilir ve enjekte edebilir. Bu özellik, kötü amaçlı yazılımın meşru süreçler içinde kötü bir kod yürütmesine, etkinliklerini etkili bir şekilde kamufle etmesine ve tespit edilmekten kaçınmasına olanak tanır.
SPECTRALVIPER'ın bir diğer dikkate değer özelliği, güvenlik belirteçlerini taklit etme yeteneğidir. Kötü amaçlı yazılım, bu belirteçlerin kimliğine bürünerek, belirli güvenlik önlemlerini atlayarak yükseltilmiş ayrıcalıklar elde edebilir. Bu yetkisiz erişim, saldırgana hassas kaynakları manipüle etme ve yetkili kapsamlarının ötesinde eylemler gerçekleştirme yeteneği verir.
Ayrıca SPECTRALVIPER, güvenliği ihlal edilmiş sisteme dosya indirme ve sistemden dosya yükleme yeteneğine sahiptir. Bu işlevsellik, saldırganın hassas verileri kurbanın makinesinden sızdırmasına veya ek kötü amaçlı yükler göndermesine olanak tanıyarak güvenliği ihlal edilmiş ortamdaki denetimini ve kalıcılığını genişletir.
Ek olarak, arka kapı güvenliği ihlal edilmiş sistemdeki dosya ve dizinleri değiştirebilir. Bu, dosyaları veya dizinleri oluşturmayı, silmeyi, değiştirmeyi ve taşımayı içerir. Saldırgan, kurbanın dosya sistemi üzerinde denetim uygulayarak, dosyaları ve dizinleri amaçlarına uyacak şekilde manipüle etmek ve manipüle etmek için kapsamlı yetki kazanır.
Bu yetenekler toplu olarak SPECTRALVIPER tarafından oluşturulan tehdide katkıda bulunur ve saldırganın güvenliği ihlal edilmiş sistem üzerinde kalıcılığı ve denetimi sürdürürken çeşitli güvenli olmayan etkinlikler yürütmesine olanak tanır.
Diğer Siber Suç Gruplarıyla Potansiyel Bağlantı
Özellikle, REF2754 ile ilişkili faaliyetler, REF4322 olarak adlandırılan başka bir tehdit grubuyla taktiksel benzerlikler sergiler. İkinci grup, öncelikli olarak Vietnam varlıklarını hedef alması ve PHOREAL (Rizzo olarak da bilinir) olarak bilinen bir sömürü sonrası implantı yerleştirmesiyle tanınır.
Bu bağlantılar, hem REF4322 hem de REF2754 faaliyet gruplarının, devlete bağlı bir Vietnamlı tehdit varlığı tarafından düzenlenen koordineli kampanyaları temsil edebileceği hipotezine yol açmıştır. Bu olasılığın sonuçları, ulus-devlet aktörlerinin bu karmaşık ve hedefli siber operasyonlara olası müdahalesinin altını çiziyor.
