A Spectralviper malware vietnami vállalatokat céloz meg

A vietnami állami vállalatok egy folyamatban lévő kezdeményezés középpontjába kerültek, amely a SPECTRALVIPER néven ismert innovatív rejtett módszert alkalmazza.

Az Elastic Security Labs egy közelmúltbeli jelentésében a SPECTRALVIPER-t egy erősen homályos hátsó ajtóként írta le, amelyet korábban nem hoztak nyilvánosságra, és kifejezetten x64-es rendszerekhez tervezték. Különféle funkciókkal rendelkezik, beleértve a PE-betöltést és -befecskendezést, a fájl-feltöltést és -letöltést, a fájl- és könyvtárkezelést, valamint a token megszemélyesítési képességeit.

A támadásokat a REF2754 néven ismert színésszel hozták összefüggésbe, amely hasonlóságot mutat az APT32-ként emlegetett vietnami fenyegető csoporttal, a Canvas Cyclone-nal (korábban Bismuth), a Cobalt Kitty-vel és az OceanLotus-szal.

A Meta korábban 2020 decemberében társította ennek a hackercsoportnak a tevékenységét a CyberOne Group nevű kiberbiztonsági céggel.

Spectralviper működési mód

Az Elastic által feltárt legújabb támadásban a SysInternals ProcDump segédprogramot használják a DONUTLOADER-t tartalmazó aláírás nélküli DLL-fájl betöltésére. A DONUTLOADER ezután úgy van beállítva, hogy betöltse a SPECTRALVIPER-t más rosszindulatú programokkal együtt, mint például a P8LOADER vagy a POWERSEAL.

A SPECTRALVIPER úgy van programozva, hogy a színész által vezérelt szerverrel kommunikáljon, és várja a további utasításokat. Az elemzés akadályozása érdekében olyan homályos technikákat alkalmaz, mint például a vezérlési áramlás egyengetése.

A C++ nyelven írt P8LOADER képes tetszőleges rakományt végrehajtani egy fájlból vagy memóriából. Ezenkívül a POWERSEAL nevű, egyedileg épített PowerShell-futót használják a mellékelt PowerShell-szkriptek vagy -parancsok futtatására.

A REF2754 taktikai hasonlóságot mutat egy másik, REF4322 néven ismert csoporttal, amely elsősorban vietnami szervezeteket céloz meg a PHOREAL (más néven Rizzo) nevű, kizsákmányolás utáni implantátum telepítésében.

Ezek az összefüggések olyan feltételezésekhez vezettek, hogy mind a REF4322, mind a REF2754 csoport olyan kampányokban vesz részt, amelyeket egy vietnami államhoz kötődő fenyegetés tervezett és hajt végre.

Eközben egy külön kártevő, a SOMNIRECORD néven a REF2924 behatolási halmazhoz kapcsolódott. A SOMNIRECORD DNS-lekérdezéseket használ a távoli kiszolgálóval való kommunikáció létrehozására és a hálózati biztonsági ellenőrzések elkerülésére.

A NAPLISTENER-hez hasonlóan a SOMNIRECORD is kihasználja a meglévő nyílt forráskódú projekteket, hogy javítsa képességeit. Információkat gyűjthet a fertőzött rendszerről, listázhatja az összes futó folyamatot, telepíthet egy webhéjat, és végrehajthatja a feltört gépen meglévő, már létező végrehajtható fájlokat.