Το κακόβουλο λογισμικό Spectralviper στοχεύει Βιετναμέζικες εταιρείες

Οι δημόσιες εταιρείες του Βιετνάμ έχουν γίνει το επίκεντρο μιας συνεχιζόμενης πρωτοβουλίας που χρησιμοποιεί μια καινοτόμο μυστική μέθοδο γνωστή ως SPECTRALVIPER.

Η Elastic Security Labs, σε μια πρόσφατη έκθεση, περιέγραψε το SPECTRALVIPER ως μια άκρως σκιασμένη κερκόπορτα, που δεν είχε αποκαλυφθεί προηγουμένως, ειδικά σχεδιασμένη για συστήματα x64. Διαθέτει διάφορες λειτουργίες, όπως φόρτωση και έγχυση PE, μεταφόρτωση και λήψη αρχείων, χειρισμό αρχείων και καταλόγου και δυνατότητες πλαστοπροσωπίας.

Οι επιθέσεις έχουν συνδεθεί με έναν ηθοποιό γνωστό ως REF2754, ο οποίος μοιράζεται ομοιότητες με μια βιετναμέζικη ομάδα απειλών που αναφέρεται ως APT32, Canvas Cyclone (προηγουμένως Bismuth), Cobalt Kitty και OceanLotus.

Η Meta συσχέτισε προηγουμένως τις δραστηριότητες αυτής της ομάδας hacking με μια εταιρεία κυβερνοασφάλειας που ονομάζεται CyberOne Group τον Δεκέμβριο του 2020.

Τρόπος λειτουργίας Spectralviper

Στην τελευταία επίθεση που αποκαλύφθηκε από το Elastic, το βοηθητικό πρόγραμμα SysInternals ProcDump χρησιμοποιείται για τη φόρτωση ενός ανυπόγραφου αρχείου DLL που περιέχει DONUTLOADER. Στη συνέχεια, το DONUTLOADER διαμορφώνεται ώστε να φορτώνει το SPECTRALVIPER μαζί με άλλα κακόβουλα προγράμματα όπως το P8LOADER ή το POWERSEAL.

Το SPECTRALVIPER είναι προγραμματισμένο να επικοινωνεί με έναν διακομιστή που ελέγχεται από τον ηθοποιό, αναμένοντας περαιτέρω οδηγίες. Χρησιμοποιεί τεχνικές συσκότισης, όπως ο έλεγχος της ισοπέδωσης ροής για να εμποδίσει την ανάλυση.

Το P8LOADER, γραμμένο σε C++, έχει τη δυνατότητα να εκτελεί αυθαίρετα ωφέλιμα φορτία από ένα αρχείο ή μνήμη. Επιπλέον, ένας προσαρμοσμένος δρομέας PowerShell με το όνομα POWERSEAL χρησιμοποιείται για την εκτέλεση παρεχόμενων σεναρίων ή εντολών PowerShell.

Το REF2754 μοιράζεται τακτικές ομοιότητες με μια άλλη ομάδα γνωστή ως REF4322, η οποία στοχεύει κυρίως οργανισμούς του Βιετνάμ για να αναπτύξουν ένα εμφύτευμα μετά την εκμετάλλευση που ονομάζεται PHOREAL (επίσης γνωστό ως Rizzo).

Αυτές οι συνδέσεις οδήγησαν σε εικασίες ότι και οι δύο ομάδες REF4322 και REF2754 συμμετέχουν σε εκστρατείες που σχεδιάζονται και εκτελούνται από απειλή που συνδέεται με το κράτος του Βιετνάμ.

Εν τω μεταξύ, ένα ξεχωριστό κακόβουλο λογισμικό γνωστό ως SOMNIRECORD έχει συσχετιστεί με το σύνολο εισβολής REF2924. Το SOMNIRECORD χρησιμοποιεί ερωτήματα DNS για να δημιουργήσει επικοινωνία με έναν απομακρυσμένο διακομιστή και να αποφύγει τους ελέγχους ασφαλείας δικτύου.

Παρόμοια με το NAPLISTENER, το SOMNIRECORD αξιοποιεί υπάρχοντα έργα ανοιχτού κώδικα για να ενισχύσει τις δυνατότητές του. Μπορεί να συλλέξει πληροφορίες σχετικά με το μολυσμένο σύστημα, να απαριθμήσει όλες τις εκτελούμενες διεργασίες, να αναπτύξει ένα κέλυφος Ιστού και να εκτελέσει τυχόν προϋπάρχοντα εκτελέσιμα αρχεία που υπάρχουν στον παραβιασμένο μηχάνημα.