SPECTRALVIPER 恶意软件

通过Mezo在 Malware, Backdoors

翻译为：

越南上市公司已成为利用新发现的名为 SPECTRALVIPER 的后门进行复杂攻击的目标。 SPECTRALVIPER 是一种高级 x64 后门，它被严重混淆并且之前未公开。这个威胁工具具有多种功能，包括 PE 加载和注入、文件上传和下载、文件和目录操作以及令牌模拟。

这些攻击背后的威胁行为者已被识别并追踪为 REF2754。该攻击者与一个以多个名称为人所知的越南威胁组织有关，包括APT32 、Canvas Cyclone（前身为 Bismuth）、Cobalt Kitty 和 OceanLotus。这表明正在进行的活动与该威胁组织的活动之间存在联系。

威胁活动涉及利用 SysInternals ProcDump 实用程序来促进加载包含 DONUTLOADER 的未签名 DLL 文件。此加载程序专门配置为加载 SPECTRALVIPER 以及其他恶意软件变体，例如 P8LOADER 和 POWERSEAL。

SPECTRALVIPER 一旦加载，就会与威胁行为者控制的服务器建立通信。它仍处于休眠状态，等待进一步的指示。为了逃避分析，SPECTRALVIPER 采用了混淆技术，例如控制流扁平化，这使得破译其功能更具挑战性。

P8LOADER，用 C++ 编写，具有从文件或直接从内存执行任意负载的能力。此外，威胁参与者使用名为 POWERSEAL 的自定义 PowerShell 运行程序，专门执行提供的 PowerShell 脚本或命令。

SPECTRALVIPER 展示了一系列有助于其有害活动的能力。凭借其 PE 加载和注入功能，SPECTRALVIPER 可以加载和注入可执行文件，同时支持 x86 和 x64 架构。此功能使恶意软件能够在合法进程中执行错误代码，从而有效地伪装其活动并逃避检测。

SPECTRALVIPER 的另一个值得注意的功能是它能够模拟安全令牌。通过模拟这些令牌，恶意软件可以获得更高的权限，从而规避某些安全措施。这种未经授权的访问使攻击者能够操纵敏感资源并执行超出其授权范围的操作。

此外，SPECTRALVIPER 具有从受感染系统下载和上传文件的能力。此功能允许攻击者从受害者的机器中泄露敏感数据或提供额外的恶意有效负载，从而扩大他们在受感染环境中的控制和持久性。

此外，后门程序还可以操纵受感染系统上的文件和目录。这包括创建、删除、修改和移动文件或目录。通过对受害者的文件系统进行控制，攻击者获得了广泛的权限来操纵和操纵文件和目录以满足他们的目标。

这些功能共同构成了 SPECTRALVIPER 构成的威胁，使攻击者能够执行各种不安全的活动，同时保持对受感染系统的持久性和控制。

值得注意的是，与 REF2754 相关的活动与另一个称为 REF4322 的威胁组织在战术上有相似之处。后者以主要针对越南实体并部署名为 PHOREAL（也称为 Rizzo）的后开发植入物而闻名。

这些联系导致了 REF4322 和 REF2754 活动组可能代表由隶属于国家的越南威胁实体精心策划的协调活动的假设。这种可能性的影响强调了民族国家行为体可能参与这些复杂且有针对性的网络行动。

搜索