Logiciel malveillant SPECTRALVIPER
Les entreprises publiques vietnamiennes sont devenues la cible d'une attaque sophistiquée utilisant une porte dérobée nouvellement identifiée appelée SPECTRALVIPER. SPECTRALVIPER est une porte dérobée x64 avancée qui est fortement obscurcie et n'a pas été divulguée auparavant. Cet outil menaçant possède diverses capacités, notamment le chargement et l'injection de PE, le téléchargement et le téléchargement de fichiers, la manipulation de fichiers et de répertoires, ainsi que l'usurpation d'identité.
L'acteur menaçant à l'origine de ces attaques a été identifié et suivi sous le numéro REF2754. Cet acteur est associé à un groupe de menace vietnamien connu sous plusieurs noms, dont APT32 , Canvas Cyclone (anciennement Bismuth), Cobalt Kitty et OceanLotus. Cela suggère un lien entre la campagne en cours et les activités de ce groupe menaçant.
Table des matières
SPECTRALVIPER est déployé parallèlement à d’autres menaces de logiciels malveillants
Les activités menaçantes impliquent l'utilisation de l'utilitaire SysInternals ProcDump pour faciliter le chargement d'un fichier DLL non signé contenant le DONUTLOADER. Ce chargeur est spécialement configuré pour charger SPECTRALVIPER, ainsi que d'autres variantes de logiciels malveillants, telles que P8LOADER et POWERSEAL.
SPECTRALVIPER, une fois chargé, établit la communication avec un serveur contrôlé par l'auteur de la menace. Il reste dans un état dormant, en attendant de nouvelles instructions. Pour échapper à l'analyse, SPECTRALVIPER utilise des techniques d'obscurcissement telles que l'aplatissement du flux de contrôle, ce qui rend plus difficile le déchiffrement de sa fonctionnalité.
P8LOADER, écrit en C++, possède la capacité d'exécuter des charges utiles arbitraires, soit à partir d'un fichier, soit directement à partir de la mémoire. De plus, les acteurs de la menace utilisent un exécuteur PowerShell personnalisé appelé POWERSEAL, qui se spécialise dans l'exécution des scripts ou des commandes PowerShell fournis.
Capacités de menace multiples trouvées dans SPECTRALVIPER
SPECTRALVIPER présente une gamme de capacités qui contribuent à ses activités nuisibles. Grâce à sa fonctionnalité de chargement et d'injection PE, SPECTRALVIPER peut charger et injecter des fichiers exécutables, prenant en charge les architectures x86 et x64. Cette fonctionnalité permet au logiciel malveillant d'exécuter un mauvais code dans des processus légitimes, camouflant efficacement ses activités et échappant à la détection.
Une autre capacité remarquable de SPECTRALVIPER est sa capacité à se faire passer pour des jetons de sécurité. En usurpant l'identité de ces jetons, le logiciel malveillant peut acquérir des privilèges élevés, contournant certaines mesures de sécurité en place. Cet accès non autorisé donne à l'attaquant la capacité de manipuler des ressources sensibles et d'effectuer des actions au-delà de leur portée autorisée.
De plus, SPECTRALVIPER possède la capacité de télécharger et de télécharger des fichiers vers et depuis le système compromis. Cette fonctionnalité permet à l'attaquant d'exfiltrer des données sensibles de la machine de la victime ou de fournir des charges utiles malveillantes supplémentaires, élargissant leur contrôle et leur persistance dans l'environnement compromis.
De plus, la porte dérobée peut manipuler des fichiers et des répertoires sur le système compromis. Cela inclut la création, la suppression, la modification et le déplacement de fichiers ou de répertoires. En exerçant un contrôle sur le système de fichiers de la victime, l'attaquant acquiert une autorité étendue pour manipuler et manipuler les fichiers et répertoires en fonction de ses objectifs.
Ces capacités contribuent collectivement à la menace posée par SPECTRALVIPER, permettant à l'attaquant d'exécuter diverses activités dangereuses tout en maintenant la persistance et le contrôle du système compromis.
Lien potentiel avec d’autres groupes cybercriminels
Notamment, les activités associées à REF2754 présentent des similitudes tactiques avec un autre groupe de menaces appelé REF4322. Ce dernier groupe est connu pour cibler principalement les entités vietnamiennes et déployer un implant post-exploitation connu sous le nom de PHOREAL (également connu sous le nom de Rizzo).
Ces connexions ont conduit à l'hypothèse que les groupes d'activités REF4322 et REF2754 pourraient représenter des campagnes coordonnées orchestrées par une entité menaçante vietnamienne affiliée à l'État. Les implications de cette possibilité soulignent l'implication potentielle des acteurs des États-nations dans ces cyberopérations sophistiquées et ciblées.
