Phần mềm độc hại SPECTRALVIPER
Các công ty đại chúng Việt Nam đã trở thành mục tiêu của một cuộc tấn công tinh vi sử dụng một cửa hậu mới được xác định có tên là SPECTRALVIPER. SPECTRALVIPER là một backdoor x64 tiên tiến được làm xáo trộn rất nhiều và trước đây không được tiết lộ. Công cụ đe dọa này sở hữu nhiều khả năng khác nhau, bao gồm tải và tiêm PE, tải lên và tải xuống tệp, thao tác với tệp và thư mục, cũng như mạo danh mã thông báo.
Tác nhân đe dọa đằng sau các cuộc tấn công này đã được xác định và theo dõi là REF2754. Diễn viên này được liên kết với một nhóm đe dọa Việt Nam được biết đến với nhiều tên, bao gồm APT32 , Canvas Cyclone (trước đây là Bismuth), Cobalt Kitty và OceanLotus. Điều này cho thấy có mối liên hệ giữa chiến dịch đang diễn ra và các hoạt động của nhóm đe dọa này.
Mục lục
SPECTRALVIPER được triển khai cùng với các mối đe dọa phần mềm độc hại khác
Các hoạt động đe dọa liên quan đến việc sử dụng tiện ích SysIternals ProcDump để hỗ trợ tải tệp DLL chưa ký có chứa DONUTLOADER. Trình tải này được cấu hình cụ thể để tải SPECTRALVIPER, cùng với các biến thể phần mềm độc hại khác, chẳng hạn như P8LOADER và POWERSEAL.
SPECTRALVIPER, sau khi được tải, sẽ thiết lập liên lạc với máy chủ do tác nhân đe dọa kiểm soát. Nó vẫn ở trạng thái không hoạt động, chờ hướng dẫn thêm. Để trốn tránh phân tích, SPECTRALVIPER sử dụng các kỹ thuật che giấu như làm phẳng luồng điều khiển, khiến việc giải mã chức năng của nó trở nên khó khăn hơn.
P8LOADER, được viết bằng C++, sở hữu khả năng thực thi tải trọng tùy ý, từ tệp hoặc trực tiếp từ bộ nhớ. Ngoài ra, các tác nhân đe dọa sử dụng một trình chạy PowerShell tùy chỉnh có tên là POWERSEAL, chuyên thực thi các tập lệnh hoặc lệnh PowerShell được cung cấp.
Nhiều khả năng đe dọa được tìm thấy trong SPECTRALVIPER
SPECTRALVIPER thể hiện một loạt các khả năng góp phần vào các hoạt động có hại của nó. Với chức năng tải và chèn PE, SPECTRALVIPER có thể tải và chèn các tệp thực thi, hỗ trợ cả kiến trúc x86 và x64. Tính năng này cho phép phần mềm độc hại thực thi mã xấu trong các quy trình hợp pháp, ngụy trang hiệu quả các hoạt động của nó và tránh bị phát hiện.
Một khả năng đáng chú ý khác của SPECTRALVIPER là khả năng mạo danh mã thông báo bảo mật. Bằng cách mạo danh các mã thông báo này, phần mềm độc hại có thể có được các đặc quyền nâng cao, phá vỡ các biện pháp bảo mật nhất định tại chỗ. Quyền truy cập trái phép này cấp cho kẻ tấn công khả năng thao túng các tài nguyên nhạy cảm và thực hiện các hành động vượt quá phạm vi được phép của chúng.
Hơn nữa, SPECTRALVIPER sở hữu khả năng tải xuống và tải lên các tệp đến và từ hệ thống bị xâm nhập. Chức năng này cho phép kẻ tấn công trích xuất dữ liệu nhạy cảm khỏi máy của nạn nhân hoặc phân phối các tải trọng độc hại bổ sung, mở rộng quyền kiểm soát và sự tồn tại của chúng trong môi trường bị xâm nhập.
Ngoài ra, backdoor có thể thao túng các tệp và thư mục trên hệ thống bị xâm nhập. Điều này bao gồm tạo, xóa, sửa đổi và di chuyển tệp hoặc thư mục. Bằng cách thực hiện quyền kiểm soát đối với hệ thống tệp của nạn nhân, kẻ tấn công có được quyền hạn rộng lớn để thao túng và thao túng các tệp và thư mục cho phù hợp với mục tiêu của chúng.
Những khả năng này góp phần chung vào mối đe dọa do SPECTRALVIPER gây ra, cho phép kẻ tấn công thực hiện nhiều hoạt động không an toàn khác nhau trong khi vẫn duy trì sự kiên trì và quyền kiểm soát đối với hệ thống bị xâm nhập.
Khả năng kết nối với các nhóm tội phạm mạng khác
Đáng chú ý, các hoạt động liên quan đến REF2754 thể hiện sự tương đồng về mặt chiến thuật với một nhóm mối đe dọa khác được gọi là REF4322. Nhóm thứ hai được biết đến với việc nhắm mục tiêu chủ yếu vào các thực thể Việt Nam và triển khai một bộ cấy sau khai thác được gọi là PHOREAL (còn được gọi là Rizzo).
Những kết nối này đã dẫn đến giả thuyết rằng cả hai nhóm hoạt động REF4322 và REF2754 có thể đại diện cho các chiến dịch phối hợp được dàn dựng bởi một thực thể đe dọa Việt Nam có liên kết với nhà nước. Ý nghĩa của khả năng này nhấn mạnh sự tham gia tiềm năng của các chủ thể nhà nước quốc gia trong các hoạt động mạng tinh vi và có mục tiêu này.
