Spectralviper Malware er rettet mod vietnamesiske virksomheder

Vietnamesiske offentlige virksomheder er blevet fokus for et igangværende initiativ, der anvender en innovativ skjult metode kendt som SPECTRALVIPER.

Elastic Security Labs beskrev i en nylig rapport SPECTRALVIPER som en meget skjult bagdør, tidligere ikke afsløret, specielt designet til x64-systemer. Det besidder forskellige funktionaliteter, herunder PE-indlæsning og -injektion, filupload og -download, fil- og biblioteksmanipulation og token-efterligning.

Angrebene er blevet forbundet med en skuespiller kendt som REF2754, som deler ligheder med en vietnamesisk trusselgruppe kaldet APT32, Canvas Cyclone (tidligere Bismuth), Cobalt Kitty og OceanLotus.

Meta associerede tidligere aktiviteterne i denne hackergruppe med et cybersikkerhedsfirma ved navn CyberOne Group i december 2020.

Spectralviper Driftsmåde

I det seneste angreb afsløret af Elastic, bruges SysInternals ProcDump-værktøjet til at indlæse en usigneret DLL-fil, der indeholder DONUTLOADER. DONUTLOADER er derefter konfigureret til at indlæse SPECTRALVIPER sammen med anden malware som P8LOADER eller POWERSEAL.

SPECTRALVIPER er programmeret til at kommunikere med en server styret af skuespilleren og afventer yderligere instruktioner. Den anvender sløringsteknikker som f.eks. kontrol af flow-udfladning for at hindre analyse.

P8LOADER, skrevet i C++, har evnen til at udføre vilkårlige nyttelaster fra en fil eller hukommelse. Derudover bruges en specialbygget PowerShell-løber ved navn POWERSEAL til at køre medfølgende PowerShell-scripts eller -kommandoer.

REF2754 deler taktiske ligheder med en anden gruppe kendt som REF4322, som primært er rettet mod vietnamesiske organisationer for at implementere et post-udnyttelsesimplantat kaldet PHOREAL (også kendt som Rizzo).

Disse forbindelser har ført til spekulationer om, at både REF4322- og REF2754-grupperne er involveret i kampagner planlagt og udført af en vietnamesisk statstilknyttet trussel.

I mellemtiden er en separat malware kendt som SOMNIRECORD blevet forbundet med indtrængningssættet REF2924. SOMNIRECORD anvender DNS-forespørgsler til at etablere kommunikation med en fjernserver og undgå netværkssikkerhedskontrol.

I lighed med NAPLISTENER udnytter SOMNIRECORD eksisterende open source-projekter til at forbedre sine muligheder. Det kan indsamle oplysninger om det inficerede system, liste alle kørende processer, implementere en web-shell og udføre alle eksisterende eksekverbare filer på den kompromitterede maskine.