Spectralviper マルウェアがベトナム企業を狙う

ベトナムの公共企業は、SPECTRALVIPERとして知られる革新的な秘密手法を採用する進行中の取り組みの焦点となっている。

Elastic Security Labs は、最近のレポートで、SPECTRALVIPER が、これまで非公開であり、特に x64 システム向けに設計された非常に隠蔽されたバックドアであると説明しました。 PE のロードと挿入、ファイルのアップロードとダウンロード、ファイルとディレクトリの操作、トークンの偽装機能など、さまざまな機能を備えています。

この攻撃は REF2754 として知られる攻撃者に関連しているとされており、APT32、Canvas Cyclone (以前の Bismuth)、Cobalt Kitty、OceanLotus と呼ばれるベトナムの脅威グループと類似点があります。

メタは以前、2020年12月にこのハッカーグループの活動をCyberOne Groupというサイバーセキュリティ企業と関連付けていた。

Spectralviper の動作モード

Elastic によって発見された最新の攻撃では、SysInternals ProcDump ユーティリティを利用して、DONUTULOADER を含む未署名の DLL ファイルがロードされます。次に、DONUTULOADER は、P8LOADER や POWERSEAL などの他のマルウェアとともに SPECTRALVIPER をロードするように構成されます。

SPECTRALVIPER は、攻撃者が制御するサーバーと通信し、さらなる指示を待つようにプログラムされています。分析を妨げるために、制御フローの平坦化などの難読化技術が採用されています。

C++ で書かれた P8LOADER には、ファイルまたはメモリから任意のペイロードを実行する機能があります。さらに、POWERSEAL という名前のカスタムビルドの PowerShell ランナーを利用して、提供された PowerShell スクリプトまたはコマンドを実行します。

REF2754 は、主にベトナムの組織をターゲットにして、PHOREAL (Rizzo としても知られる) と呼ばれるエクスプロイト後のインプラントを配備する REF4322 として知られる別のグループと戦術的な類似点を共有しています。

これらのつながりから、REF4322グループとREF2754グループの両方が、ベトナム国家関連の脅威によって計画され実行されたキャンペーンに従事しているのではないかという憶測が生まれている。

一方、SOMNIRECORD として知られる別のマルウェアが侵入セット REF2924 に関連付けられています。 SOMNIRECORD は、DNS クエリを使用してリモート サーバーとの通信を確立し、ネットワーク セキュリティ制御を回避します。

NAPLISTENER と同様に、SOMNIRECORD は既存のオープンソース プロジェクトを活用して機能を強化します。感染したシステムに関する情報を収集し、実行中のすべてのプロセスをリストし、Web シェルを展開し、侵害されたマシン上に存在する既存の実行可能ファイルを実行できます。