El malware Spectralviper se dirige a corporaciones vietnamitas

Las corporaciones públicas vietnamitas se han convertido en el foco de una iniciativa en curso que emplea un método encubierto innovador conocido como SPECTRALVIPER.

Elastic Security Labs, en un informe reciente, describió SPECTRALVIPER como una puerta trasera muy oculta, previamente no revelada, diseñada específicamente para sistemas x64. Posee varias funcionalidades, que incluyen carga e inyección de PE, carga y descarga de archivos, manipulación de archivos y directorios y capacidades de suplantación de tokens.

Los ataques se han relacionado con un actor conocido como REF2754, que comparte similitudes con un grupo de amenazas vietnamita conocido como APT32, Canvas Cyclone (anteriormente Bismuth), Cobalt Kitty y OceanLotus.

Meta asoció previamente las actividades de este grupo de piratería con una empresa de ciberseguridad llamada CyberOne Group en diciembre de 2020.

Modo de funcionamiento de Spectralviper

En el último ataque descubierto por Elastic, la utilidad SysInternals ProcDump se utiliza para cargar un archivo DLL sin firmar que contiene DONUTLOADER. A continuación, DONUTLOADER se configura para cargar SPECTRALVIPER junto con otro malware como P8LOADER o POWERSEAL.

SPECTRALVIPER está programado para comunicarse con un servidor controlado por el actor, en espera de más instrucciones. Emplea técnicas de ofuscación como el aplanamiento del flujo de control para dificultar el análisis.

P8LOADER, escrito en C++, tiene la capacidad de ejecutar cargas útiles arbitrarias desde un archivo o memoria. Además, se utiliza un ejecutor de PowerShell personalizado denominado POWERSEAL para ejecutar scripts o comandos de PowerShell suministrados.

REF2754 comparte similitudes tácticas con otro grupo conocido como REF4322, que se dirige principalmente a organizaciones vietnamitas para implementar un implante posterior a la explotación llamado PHOREAL (también conocido como Rizzo).

Estas conexiones han llevado a la especulación de que tanto los grupos REF4322 como REF2754 participan en campañas planificadas y ejecutadas por una amenaza afiliada al estado vietnamita.

Mientras tanto, un malware separado conocido como SOMNIRECORD se ha asociado con el conjunto de intrusión REF2924. SOMNIRECORD emplea consultas DNS para establecer comunicación con un servidor remoto y evadir los controles de seguridad de la red.

Al igual que NAPLISTENER, SOMNIRECORD aprovecha los proyectos de código abierto existentes para mejorar sus capacidades. Puede recopilar información sobre el sistema infectado, enumerar todos los procesos en ejecución, implementar un shell web y ejecutar cualquier archivo ejecutable preexistente presente en la máquina comprometida.