Шкідливе програмне забезпечення SPECTRALVIPER
В’єтнамські публічні компанії стали об’єктами складної атаки з використанням нещодавно виявленого бекдору під назвою SPECTRALVIPER. SPECTRALVIPER — це просунутий бекдор x64, який сильно затуманений і раніше не розголошувався. Цей загрозливий інструмент має різноманітні можливості, включаючи завантаження та ін’єкцію PE, завантаження та завантаження файлів, маніпулювання файлами та каталогами, а також уособлення маркерів.
Загрозу, що стоїть за цими атаками, було ідентифіковано та відстежено як REF2754. Цей актор пов’язаний із в’єтнамською групою загроз, відомою під кількома назвами, зокрема APT32 , Canvas Cyclone (раніше Bismuth), Cobalt Kitty та OceanLotus. Це свідчить про зв'язок між поточною кампанією та діяльністю цієї групи загроз.
Зміст
SPECTRALVIPER розгортається разом із іншими загрозами зловмисного програмного забезпечення
Загрозливі дії включають використання утиліти SysInternals ProcDump для полегшення завантаження непідписаного DLL-файлу, що містить DONUTLOADER. Цей завантажувач спеціально налаштований для завантаження SPECTRALVIPER разом з іншими варіантами зловмисного програмного забезпечення, такими як P8LOADER і POWERSEAL.
Після завантаження SPECTRALVIPER встановлює зв’язок із сервером, яким керує зловмисник. Він залишається в стані спокою, очікуючи подальших інструкцій. Щоб уникнути аналізу, SPECTRALVIPER використовує методи обфускації, такі як згладжування потоку керування, що ускладнює розшифровку його функціональності.
P8LOADER, написаний на C++, має можливість виконувати довільні корисні навантаження з файлу або безпосередньо з пам’яті. Крім того, зловмисники використовують налаштовану програму запуску PowerShell під назвою POWERSEAL, яка спеціалізується на виконанні наданих сценаріїв або команд PowerShell.
Численні загрозливі можливості, знайдені в SPECTRALVIPER
SPECTRALVIPER демонструє ряд можливостей, які сприяють його шкідливій діяльності. Завдяки функції завантаження та ін’єкції PE SPECTRALVIPER може завантажувати та ін’єктувати виконувані файли, підтримуючи архітектури x86 і x64. Ця функція дозволяє зловмисному програмному забезпеченню виконувати несправний код у законних процесах, ефективно маскуючи свою діяльність і уникаючи виявлення.
Ще одна важлива можливість SPECTRALVIPER — це здатність імітувати маркери безпеки. Уособлюючи ці токени, зловмисне програмне забезпечення може отримати підвищені привілеї, обходячи певні заходи безпеки. Цей неавторизований доступ надає зловмиснику можливість маніпулювати конфіденційними ресурсами та виконувати дії, що виходять за межі його авторизованого обсягу.
Крім того, SPECTRALVIPER має можливість завантажувати та завантажувати файли до та з скомпрометованої системи. Ця функція дозволяє зловмиснику вилучати конфіденційні дані з комп’ютера жертви або доставляти додаткові зловмисні навантаження, розширюючи контроль і стійкість у скомпрометованому середовищі.
Крім того, бекдор може маніпулювати файлами та каталогами в скомпрометованій системі. Це включає створення, видалення, зміну та переміщення файлів або каталогів. Здійснюючи контроль над файловою системою жертви, зловмисник отримує широкі повноваження для маніпулювання та маніпулювання файлами та каталогами відповідно до своїх цілей.
Ці можливості спільно сприяють загрозі, яку представляє SPECTRALVIPER, дозволяючи зловмиснику виконувати різні небезпечні дії, зберігаючи наполегливість і контроль над скомпрометованою системою.
Потенційний зв’язок з іншими групами кіберзлочинців
Примітно, що дії, пов’язані з REF2754, демонструють тактичну схожість з іншою групою загроз, яка називається REF4322. Остання група відома тим, що націлена переважно на в’єтнамські організації та розгортає імплантат після експлуатації, відомий як PHOREAL (також відомий як Rizzo).
Ці зв’язки привели до гіпотези про те, що групи діяльності REF4322 і REF2754 можуть представляти скоординовані кампанії, організовані в’єтнамською організацією загрози, пов’язаною з державою. Наслідки такої можливості підкреслюють потенційну участь суб’єктів національної держави в цих складних і цілеспрямованих кіберопераціях.
