SPECTRALVIPER マルウェア
ベトナムの上場企業が、新たに特定された「SPECTRALVIPER」と呼ばれるバックドアを利用した高度な攻撃の標的となっています。 SPECTRALVIPER は高度な x64 バックドアであり、高度に難読化されており、以前は公開されていませんでした。この脅威ツールは、PE のロードと挿入、ファイルのアップロードとダウンロード、ファイルとディレクトリの操作、トークンのなりすましなど、さまざまな機能を備えています。
これらの攻撃の背後にある攻撃者は REF2754 として特定され、追跡されています。この攻撃者は、 APT32 、Canvas Cyclone (旧名 Bismuth)、Cobalt Kitty、OceanLotus など、複数の名前で知られるベトナムの脅威グループに関連しています。これは、進行中のキャンペーンとこの脅威グループの活動との関連性を示唆しています。
目次
SPECTRALVIPER は他のマルウェア脅威と一緒に導入されます
この脅威的な活動には、DONUTLOADER を含む署名されていない DLL ファイルのロードを容易にする SysInternals ProcDump ユーティリティの利用が含まれます。このローダーは、P8LOADER や POWERSEAL などの他のマルウェア亜種とともに SPECTRALVIPER をロードするように特別に構成されています。
SPECTRALVIPER はロードされると、脅威アクターが制御するサーバーとの通信を確立します。休止状態のままで、さらなる指示を待っています。分析を回避するために、SPECTRALVIPER は制御フローの平坦化などの難読化技術を採用しており、その機能を解読することがより困難になっています。
C++ で書かれた P8LOADER は、ファイルまたはメモリから直接任意のペイロードを実行する機能を備えています。さらに、脅威アクターは、提供された PowerShell スクリプトまたはコマンドの実行を専門とする、POWERSEAL と呼ばれるカスタマイズされた PowerShell ランナーを採用しています。
SPECTRALVIPER に複数の脅威機能が見つかる
SPECTRALVIPER は、その有害な活動に寄与するさまざまな機能を発揮します。 SPECTRALVIPER は、PE のロードおよび注入機能を使用して、実行可能ファイルのロードおよび注入を行うことができ、x86 と x64 の両方のアーキテクチャをサポートします。この機能により、マルウェアは正規のプロセス内で不正なコードを実行し、その活動を効果的に偽装して検出を回避できるようになります。
SPECTRALVIPER のもう 1 つの注目すべき機能は、セキュリティ トークンを偽装する機能です。これらのトークンになりすますことで、マルウェアは昇格された権限を取得し、実施されている特定のセキュリティ対策を回避できます。この不正アクセスにより、攻撃者は機密リソースを操作し、許可された範囲を超えたアクションを実行できるようになります。
さらに、SPECTRALVIPER は、侵害されたシステムとの間でファイルをダウンロードおよびアップロードする機能を備えています。この機能により、攻撃者は被害者のマシンから機密データを抽出したり、追加の悪意のあるペイロードを配信したりして、侵害された環境内での制御と永続性を拡張できます。
さらに、バックドアは侵害されたシステム上のファイルやディレクトリを操作する可能性があります。これには、ファイルまたはディレクトリの作成、削除、変更、移動が含まれます。攻撃者は、被害者のファイル システムを制御することで、目的に合わせてファイルやディレクトリを操作する広範な権限を獲得します。
これらの機能は集合的に SPECTRALVIPER によってもたらされる脅威に寄与し、攻撃者が侵害されたシステムの永続性と制御を維持しながら、さまざまな危険なアクティビティを実行できるようにします。
他のサイバー犯罪グループとの潜在的なつながり
特に、REF2754 に関連する活動は、REF4322 と呼ばれる別の脅威グループと戦術的な類似性を示しています。後者のグループは、主にベトナムの実体をターゲットにし、PHOREAL (Rizzo としても知られる) として知られる搾取後のインプラントを展開することで知られています。
これらの関連性から、REF4322 と REF2754 の両方の活動グループが、国家と提携しているベトナムの脅威組織によって組織化された組織的なキャンペーンを表しているのではないかという仮説が生まれました。この可能性の意味は、こうした高度で標的を絞ったサイバー作戦に国家主体が関与する可能性を浮き彫りにしている。
