Il malware Spectralviper prende di mira le aziende vietnamite

Le società pubbliche vietnamite sono diventate il fulcro di un'iniziativa in corso che utilizza un metodo segreto innovativo noto come SPECTRALVIPER.

Elastic Security Labs, in un recente rapporto, ha descritto SPECTRALVIPER come una backdoor altamente oscurata, precedentemente sconosciuta, specificamente progettata per i sistemi x64. Possiede varie funzionalità, tra cui il caricamento e l'iniezione di PE, il caricamento e il download di file, la manipolazione di file e directory e le capacità di rappresentazione dei token.

Gli attacchi sono stati collegati a un attore noto come REF2754, che condivide somiglianze con un gruppo di minaccia vietnamita denominato APT32, Canvas Cyclone (precedentemente Bismuth), Cobalt Kitty e OceanLotus.

Meta aveva precedentemente associato le attività di questo gruppo di hacker a una società di sicurezza informatica denominata CyberOne Group nel dicembre 2020.

Modalità di funzionamento di Spectralviper

Nell'ultimo attacco scoperto da Elastic, l'utilità SysInternals ProcDump viene utilizzata per caricare un file DLL non firmato contenente DONUTLOADER. DONUTLOADER viene quindi configurato per caricare SPECTRALVIPER insieme ad altri malware come P8LOADER o POWERSEAL.

SPECTRALVIPER è programmato per comunicare con un server controllato dall'attore, in attesa di ulteriori istruzioni. Impiega tecniche di offuscamento come l'appiattimento del flusso di controllo per ostacolare l'analisi.

P8LOADER, scritto in C++, ha la capacità di eseguire payload arbitrari da un file o da una memoria. Inoltre, viene utilizzato un runner PowerShell personalizzato denominato POWERSEAL per eseguire script o comandi PowerShell forniti.

REF2754 condivide somiglianze tattiche con un altro gruppo noto come REF4322, che si rivolge principalmente alle organizzazioni vietnamite per distribuire un impianto post-sfruttamento chiamato PHOREAL (noto anche come Rizzo).

Queste connessioni hanno portato a ipotizzare che entrambi i gruppi REF4322 e REF2754 siano impegnati in campagne pianificate ed eseguite da una minaccia affiliata allo stato vietnamita.

Nel frattempo, un malware separato noto come SOMNIRECORD è stato associato al set di intrusioni REF2924. SOMNIRECORD utilizza query DNS per stabilire la comunicazione con un server remoto ed eludere i controlli di sicurezza della rete.

Simile a NAPLISTENER, SOMNIRECORD sfrutta i progetti open source esistenti per migliorare le sue capacità. Può raccogliere informazioni sul sistema infetto, elencare tutti i processi in esecuzione, distribuire una web shell ed eseguire qualsiasi file eseguibile preesistente presente sulla macchina compromessa.