SPECTRALVIPER-Malware
Vietnamesische öffentliche Unternehmen sind zum Ziel eines raffinierten Angriffs geworden, bei dem eine neu entdeckte Hintertür namens SPECTRALVIPER zum Einsatz kommt. SPECTRALVIPER ist eine fortschrittliche x64-Hintertür, die stark verschleiert ist und bisher nicht bekannt gegeben wurde. Dieses bedrohliche Tool verfügt über verschiedene Fähigkeiten, darunter das Laden und Einschleusen von PE, das Hoch- und Herunterladen von Dateien, die Manipulation von Dateien und Verzeichnissen sowie den Identitätswechsel von Token.
Der Bedrohungsakteur hinter diesen Angriffen wurde als REF2754 identifiziert und verfolgt. Dieser Akteur ist mit einer vietnamesischen Bedrohungsgruppe verbunden, die unter mehreren Namen bekannt ist, darunter APT32 , Canvas Cyclone (ehemals Bismuth), Cobalt Kitty und OceanLotus. Dies deutet auf einen Zusammenhang zwischen der laufenden Kampagne und den Aktivitäten dieser Bedrohungsgruppe hin.
Inhaltsverzeichnis
SPECTRALVIPER wird zusammen mit anderen Malware-Bedrohungen eingesetzt
Zu den bedrohlichen Aktivitäten gehört die Verwendung des SysInternals ProcDump-Dienstprogramms, um das Laden einer unsignierten DLL-Datei mit dem DONUTLOADER zu erleichtern. Dieser Loader ist speziell für das Laden von SPECTRALVIPER zusammen mit anderen Malware-Varianten wie P8LOADER und POWERSEAL konfiguriert.
Sobald SPECTRALVIPER geladen ist, stellt es die Kommunikation mit einem Server her, der vom Bedrohungsakteur kontrolliert wird. Es bleibt in einem Ruhezustand und wartet auf weitere Anweisungen. Um einer Analyse zu entgehen, nutzt SPECTRALVIPER Verschleierungstechniken wie die Abflachung des Kontrollflusses, wodurch es schwieriger wird, seine Funktionalität zu entschlüsseln.
P8LOADER ist in C++ geschrieben und verfügt über die Fähigkeit, beliebige Nutzlasten entweder aus einer Datei oder direkt aus dem Speicher auszuführen. Darüber hinaus nutzen die Bedrohungsakteure einen angepassten PowerShell-Runner namens POWERSEAL, der auf die Ausführung bereitgestellter PowerShell-Skripte oder -Befehle spezialisiert ist.
Mehrere bedrohliche Fähigkeiten in SPECTRALVIPER gefunden
SPECTRALVIPER weist eine Reihe von Fähigkeiten auf, die zu seinen schädlichen Aktivitäten beitragen. Mit seiner PE-Lade- und Injektionsfunktion kann SPECTRALVIPER ausführbare Dateien laden und injizieren und unterstützt dabei sowohl x86- als auch x64-Architekturen. Diese Funktion ermöglicht es der Malware, einen fehlerhaften Code in legitimen Prozessen auszuführen, ihre Aktivitäten effektiv zu verschleiern und der Erkennung zu entgehen.
Eine weitere bemerkenswerte Fähigkeit von SPECTRALVIPER ist die Fähigkeit, sich als Sicherheitstoken auszugeben. Durch die Nachahmung dieser Token kann die Malware erweiterte Berechtigungen erlangen und so bestimmte bestehende Sicherheitsmaßnahmen umgehen. Dieser unbefugte Zugriff gibt dem Angreifer die Möglichkeit, sensible Ressourcen zu manipulieren und Aktionen auszuführen, die über seinen autorisierten Rahmen hinausgehen.
Darüber hinaus verfügt SPECTRALVIPER über die Möglichkeit, Dateien auf das kompromittierte System herunterzuladen und von dort hochzuladen. Diese Funktionalität ermöglicht es dem Angreifer, sensible Daten vom Computer des Opfers zu exfiltrieren oder zusätzliche bösartige Payloads einzuschleusen und so seine Kontrolle und Persistenz innerhalb der gefährdeten Umgebung zu erweitern.
Darüber hinaus kann die Hintertür Dateien und Verzeichnisse auf dem kompromittierten System manipulieren. Dazu gehört das Erstellen, Löschen, Ändern und Verschieben von Dateien oder Verzeichnissen. Indem der Angreifer die Kontrolle über das Dateisystem des Opfers ausübt, erhält er umfassende Befugnisse, die Dateien und Verzeichnisse entsprechend seinen Zielen zu manipulieren.
Diese Fähigkeiten tragen gemeinsam zur Bedrohung durch SPECTRALVIPER bei und ermöglichen es dem Angreifer, verschiedene unsichere Aktivitäten auszuführen und gleichzeitig Persistenz und Kontrolle über das kompromittierte System zu bewahren.
Mögliche Verbindung zu anderen Cyberkriminellengruppen
Bemerkenswert ist, dass die mit REF2754 verbundenen Aktivitäten taktische Ähnlichkeiten mit einer anderen Bedrohungsgruppe namens REF4322 aufweisen. Die letztere Gruppe ist dafür bekannt, dass sie in erster Linie vietnamesische Unternehmen ins Visier nimmt und ein Post-Exploitation-Implantat namens PHOREAL (auch bekannt als Rizzo) einsetzt.
Diese Verbindungen haben zu der Hypothese geführt, dass sowohl die REF4322- als auch die REF2754-Aktivitätsgruppen koordinierte Kampagnen darstellen könnten, die von einer mit dem Staat verbundenen vietnamesischen Bedrohungseinheit orchestriert werden. Die Auswirkungen dieser Möglichkeit unterstreichen die potenzielle Beteiligung nationalstaatlicher Akteure an diesen raffinierten und gezielten Cyberoperationen.
