SPECTRALVIPER Malware
Las empresas públicas vietnamitas se han convertido en el objetivo de un ataque sofisticado que utiliza una puerta trasera recientemente identificada llamada SPECTRALVIPER. SPECTRALVIPER es una puerta trasera x64 avanzada que está muy ofuscada y no se reveló anteriormente. Esta herramienta amenazante posee varias capacidades, que incluyen la carga e inyección de PE, la carga y descarga de archivos, la manipulación de archivos y directorios, así como la suplantación de tokens.
El actor de amenazas detrás de estos ataques ha sido identificado y rastreado como REF2754. Este actor está asociado con un grupo de amenazas vietnamita conocido por varios nombres, incluidos APT32 , Canvas Cyclone (anteriormente Bismuth), Cobalt Kitty y OceanLotus. Esto sugiere una conexión entre la campaña en curso y las actividades de este grupo amenazante.
Tabla de contenido
SPECTRALVIPER se implementa junto con otras amenazas de malware
Las actividades amenazantes involucran la utilización de la utilidad SysInternals ProcDump para facilitar la carga de un archivo DLL sin firmar que contiene DONUTLOADER. Este cargador está configurado específicamente para cargar SPECTRALVIPER, junto con otras variantes de malware, como P8LOADER y POWERSEAL.
SPECTRALVIPER, una vez cargado, establece comunicación con un servidor controlado por el actor de amenazas. Permanece en un estado inactivo, en espera de nuevas instrucciones. Para evadir el análisis, SPECTRALVIPER emplea técnicas de ofuscación como el aplanamiento del flujo de control, lo que dificulta descifrar su funcionalidad.
P8LOADER, escrito en C++, posee la capacidad de ejecutar cargas útiles arbitrarias, ya sea desde un archivo o directamente desde la memoria. Además, los actores de amenazas emplean un ejecutor de PowerShell personalizado llamado POWERSEAL, que se especializa en ejecutar scripts o comandos de PowerShell suministrados.
Múltiples capacidades amenazantes encontradas en SPECTRALVIPER
SPECTRALVIPER exhibe una variedad de capacidades que contribuyen a sus actividades dañinas. Con su función de carga e inyección de PE, SPECTRALVIPER puede cargar e inyectar archivos ejecutables, compatible con arquitecturas x86 y x64. Esta característica permite que el malware ejecute un código incorrecto dentro de procesos legítimos, camuflando de manera efectiva sus actividades y evadiendo la detección.
Otra capacidad notable de SPECTRALVIPER es su capacidad para hacerse pasar por tokens de seguridad. Al hacerse pasar por estos tokens, el malware puede adquirir privilegios elevados, eludiendo ciertas medidas de seguridad vigentes. Este acceso no autorizado otorga al atacante la capacidad de manipular recursos confidenciales y realizar acciones más allá de su alcance autorizado.
Además, SPECTRALVIPER posee la capacidad de descargar y cargar archivos hacia y desde el sistema comprometido. Esta funcionalidad le permite al atacante filtrar datos confidenciales de la máquina de la víctima o entregar cargas maliciosas adicionales, expandiendo su control y persistencia dentro del entorno comprometido.
Además, la puerta trasera puede manipular archivos y directorios en el sistema comprometido. Esto incluye crear, eliminar, modificar y mover archivos o directorios. Al ejercer control sobre el sistema de archivos de la víctima, el atacante obtiene amplia autoridad para manipular y manipular los archivos y directorios para satisfacer sus objetivos.
Estas capacidades contribuyen colectivamente a la amenaza que representa SPECTRALVIPER, lo que permite al atacante ejecutar varias actividades inseguras mientras mantiene la persistencia y el control sobre el sistema comprometido.
Conexión potencial con otros grupos de ciberdelincuentes
En particular, las actividades asociadas con REF2754 exhiben similitudes tácticas con otro grupo de amenazas denominado REF4322. Este último grupo es conocido por apuntar principalmente a entidades vietnamitas y desplegar un implante posterior a la explotación conocido como PHOREAL (también conocido como Rizzo).
Estas conexiones han llevado a la hipótesis de que tanto los grupos de actividad REF4322 como REF2754 pueden representar campañas coordinadas orquestadas por una entidad de amenaza vietnamita afiliada al estado. Las implicaciones de esta posibilidad subrayan la participación potencial de los actores del estado-nación en estas operaciones cibernéticas sofisticadas y dirigidas.
