Spectralviper-Malware zielt auf vietnamesische Unternehmen ab

Vietnamesische öffentliche Unternehmen stehen im Mittelpunkt einer laufenden Initiative, die eine innovative verdeckte Methode namens SPECTRALVIPER einsetzt.

In einem aktuellen Bericht beschrieb Elastic Security Labs SPECTRALVIPER als eine bisher unbekannte, stark verdeckte Hintertür, die speziell für x64-Systeme entwickelt wurde. Es verfügt über verschiedene Funktionalitäten, darunter PE-Laden und -Injektion, Datei-Upload und -Download, Datei- und Verzeichnismanipulation sowie Funktionen zum Token-Identitätswechsel.

Die Angriffe wurden mit einem Akteur namens REF2754 in Verbindung gebracht, der Ähnlichkeiten mit einer vietnamesischen Bedrohungsgruppe namens APT32, Canvas Cyclone (früher Bismuth), Cobalt Kitty und OceanLotus aufweist.

Meta hatte die Aktivitäten dieser Hackergruppe bereits im Dezember 2020 mit einem Cybersicherheitsunternehmen namens CyberOne Group in Verbindung gebracht.

Funktionsweise der Spectralviper

Bei dem neuesten von Elastic aufgedeckten Angriff wird das Dienstprogramm SysInternals ProcDump verwendet, um eine unsignierte DLL-Datei mit DONUTLOADER zu laden. DONUTLOADER wird dann so konfiguriert, dass SPECTRALVIPER zusammen mit anderer Malware wie P8LOADER oder POWERSEAL geladen wird.

SPECTRALVIPER ist so programmiert, dass es mit einem vom Schauspieler kontrollierten Server kommuniziert und auf weitere Anweisungen wartet. Es verwendet Verschleierungstechniken wie die Abflachung des Kontrollflusses, um die Analyse zu behindern.

P8LOADER ist in C++ geschrieben und kann beliebige Nutzlasten aus einer Datei oder einem Speicher ausführen. Darüber hinaus wird ein benutzerdefinierter PowerShell-Runner namens POWERSEAL verwendet, um bereitgestellte PowerShell-Skripte oder -Befehle auszuführen.

REF2754 weist taktische Ähnlichkeiten mit einer anderen Gruppe namens REF4322 auf, die es in erster Linie auf vietnamesische Organisationen abgesehen hat, um ein Post-Exploitation-Implantat namens PHOREAL (auch bekannt als Rizzo) einzusetzen.

Diese Verbindungen haben zu Spekulationen geführt, dass sowohl die Gruppen REF4322 als auch REF2754 an Kampagnen beteiligt sind, die von einer mit dem vietnamesischen Staat verbundenen Bedrohung geplant und durchgeführt werden.

Mittlerweile wurde eine separate Malware namens SOMNIRECORD mit dem Intrusion Set REF2924 in Verbindung gebracht. SOMNIRECORD nutzt DNS-Abfragen, um die Kommunikation mit einem Remote-Server herzustellen und Netzwerksicherheitskontrollen zu umgehen.

Ähnlich wie NAPLISTENER nutzt SOMNIRECORD bestehende Open-Source-Projekte, um seine Fähigkeiten zu erweitern. Es kann Informationen über das infizierte System sammeln, alle laufenden Prozesse auflisten, eine Web-Shell bereitstellen und alle bereits vorhandenen ausführbaren Dateien auf dem gefährdeten Computer ausführen.