Le malware Spectralviper cible les entreprises vietnamiennes

Les entreprises publiques vietnamiennes sont devenues le centre d'une initiative en cours qui utilise une méthode secrète innovante connue sous le nom de SPECTRALVIPER.

Elastic Security Labs, dans un rapport récent, a décrit SPECTRALVIPER comme une porte dérobée très obscure, auparavant non divulguée, spécialement conçue pour les systèmes x64. Il possède diverses fonctionnalités, notamment le chargement et l'injection de PE, le téléchargement et le téléchargement de fichiers, la manipulation de fichiers et de répertoires et les capacités d'emprunt d'identité de jeton.

Les attaques ont été liées à un acteur connu sous le nom de REF2754, qui partage des similitudes avec un groupe menaçant vietnamien appelé APT32, Canvas Cyclone (anciennement Bismuth), Cobalt Kitty et OceanLotus.

Meta a précédemment associé les activités de ce groupe de piratage à une société de cybersécurité nommée CyberOne Group en décembre 2020.

Mode de fonctionnement Spectralviper

Dans la dernière attaque découverte par Elastic, l'utilitaire SysInternals ProcDump est utilisé pour charger un fichier DLL non signé contenant DONUTLOADER. DONUTLOADER est alors configuré pour charger SPECTRALVIPER avec d'autres logiciels malveillants comme P8LOADER ou POWERSEAL.

SPECTRALVIPER est programmé pour communiquer avec un serveur contrôlé par l'acteur, en attendant de nouvelles instructions. Il utilise des techniques d'obscurcissement telles que l'aplatissement du flux de contrôle pour entraver l'analyse.

P8LOADER, écrit en C++, a la capacité d'exécuter des charges utiles arbitraires à partir d'un fichier ou d'une mémoire. De plus, un exécuteur PowerShell personnalisé nommé POWERSEAL est utilisé pour exécuter les scripts ou commandes PowerShell fournis.

REF2754 partage des similitudes tactiques avec un autre groupe connu sous le nom de REF4322, qui cible principalement les organisations vietnamiennes pour déployer un implant post-exploitation appelé PHOREAL (également connu sous le nom de Rizzo).

Ces connexions ont conduit à la spéculation selon laquelle les groupes REF4322 et REF2754 sont engagés dans des campagnes planifiées et exécutées par une menace affiliée à l'État vietnamien.

Pendant ce temps, un logiciel malveillant distinct connu sous le nom de SOMNIRECORD a été associé au jeu d'intrusion REF2924. SOMNIRECORD utilise des requêtes DNS pour établir une communication avec un serveur distant et échapper aux contrôles de sécurité du réseau.

Semblable à NAPLISTENER, SOMNIRECORD s'appuie sur des projets open source existants pour améliorer ses capacités. Il peut collecter des informations sur le système infecté, répertorier tous les processus en cours d'exécution, déployer un shell Web et exécuter tous les fichiers exécutables préexistants présents sur la machine compromise.