SPECTRALVIPER 惡意軟件

Malware, Backdoors 年Mezo年

翻譯為：

越南上市公司已成為利用新發現的名為 SPECTRALVIPER 的後門進行複雜攻擊的目標。 SPECTRALVIPER 是一種高級 x64 後門，它被嚴重混淆並且之前未公開。這個威脅工具具有多種功能，包括 PE 加載和注入、文件上傳和下載、文件和目錄操作以及令牌模擬。

這些攻擊背後的威脅行為者已被識別並追踪為 REF2754。該攻擊者與一個以多個名稱聞名的越南威脅組織有關，包括APT32 、Canvas Cyclone（前身為 Bismuth）、Cobalt Kitty 和 OceanLotus。這表明正在進行的活動與該威脅組織的活動之間存在聯繫。

威脅活動涉及利用 SysInternals ProcDump 實用程序來促進加載包含 DONUTLOADER 的未簽名 DLL 文件。此加載程序專門配置為加載 SPECTRALVIPER 以及其他惡意軟件變體，例如 P8LOADER 和 POWERSEAL。

SPECTRALVIPER 一旦加載，就會與威脅行為者控制的服務器建立通信。它仍處於休眠狀態，等待進一步的指示。為了逃避分析，SPECTRALVIPER 採用了混淆技術，例如控制流扁平化，這使得破譯其功能更具挑戰性。

P8LOADER，用 C++ 編寫，具有從文件或直接從內存執行任意負載的能力。此外，威脅參與者使用名為 POWERSEAL 的自定義 PowerShell 運行程序，專門執行提供的 PowerShell 腳本或命令。

SPECTRALVIPER 展示了一系列有助於其有害活動的能力。憑藉其 PE 加載和注入功能，SPECTRALVIPER 可以加載和注入可執行文件，同時支持 x86 和 x64 架構。此功能使惡意軟件能夠在合法進程中執行錯誤代碼，從而有效地偽裝其活動並逃避檢測。

SPECTRALVIPER 的另一個值得注意的功能是它能夠模擬安全令牌。通過模擬這些令牌，惡意軟件可以獲得更高的權限，從而規避某些安全措施。這種未經授權的訪問使攻擊者能夠操縱敏感資源並執行超出其授權範圍的操作。

此外，SPECTRALVIPER 具有從受感染系統下載和上傳文件的能力。此功能允許攻擊者從受害者的機器中洩露敏感數據或提供額外的惡意有效負載，從而擴大他們在受感染環境中的控制和持久性。

此外，後門程序還可以操縱受感染系統上的文件和目錄。這包括創建、刪除、修改和移動文件或目錄。通過對受害者的文件系統進行控制，攻擊者獲得了廣泛的權限來操縱和操縱文件和目錄以滿足他們的目標。

這些功能共同構成了 SPECTRALVIPER 構成的威脅，使攻擊者能夠執行各種不安全的活動，同時保持對受感染系統的持久性和控制。

值得注意的是，與 REF2754 相關的活動與另一個稱為 REF4322 的威脅組織在戰術上有相似之處。後者以主要針對越南實體並部署名為 PHOREAL（也稱為 Rizzo）的後開發植入物而聞名。

這些聯繫導致了 REF4322 和 REF2754 活動組可能代表由隸屬於國家的越南威脅實體精心策劃的協調活動的假設。這種可能性的影響強調了民族國家行為體可能參與這些複雜且有針對性的網絡行動。

搜索