„Spectralviper“ kenkėjiška programa skirta Vietnamo korporacijoms

Vietnamo viešosios korporacijos tapo nuolatinės iniciatyvos, kurioje naudojamas naujoviškas slaptas metodas, žinomas kaip SPECTRALVIPER, dėmesio centre.

Neseniai paskelbtoje „Elastic Security Labs“ ataskaitoje SPECTRALVIPER apibūdino kaip labai užtemdytas galines duris, anksčiau nebuvo atskleistas, specialiai sukurtas x64 sistemoms. Jis turi įvairias funkcijas, įskaitant PE įkėlimą ir įterpimą, failų įkėlimą ir atsisiuntimą, failų ir katalogų manipuliavimą bei žetonų apsimetinėjimo galimybes.

Išpuoliai buvo siejami su aktoriumi, žinomu kaip REF2754, kuris turi panašumų su Vietnamo grėsmių grupe, vadinama APT32, „Canvas Cyclone“ (anksčiau „Bismuth“), „Cobalt Kitty“ ir „OceanLotus“.

Anksčiau Meta šios įsilaužimo grupės veiklą siejo su kibernetinio saugumo įmone, pavadinta CyberOne Group, 2020 m. gruodžio mėn.

Spektralviperio veikimo režimas

Naujausioje Elastic atskleistoje atakoje SysInternals ProcDump įrankis naudojamas nepasirašytam DLL failui, kuriame yra DONUTLOADER, įkelti. Tada DONUTLOADER sukonfigūruojamas įkelti SPECTRALVIPER kartu su kitomis kenkėjiškomis programomis, tokiomis kaip P8LOADER arba POWERSEAL.

SPECTRALVIPER užprogramuotas bendrauti su serveriu, kurį valdo veikėjas, laukiant tolesnių nurodymų. Tam naudojami užmaskavimo metodai, tokie kaip valdymo srauto išlyginimas, kad būtų trukdoma analizei.

P8LOADER, parašytas C++, turi galimybę vykdyti savavališkus naudingus krovinius iš failo ar atminties. Be to, pagal užsakymą sukurta „PowerShell“ paleidiklis, pavadintas POWERSEAL, naudojamas tiekiamiems „PowerShell“ scenarijams arba komandoms paleisti.

REF2754 dalijasi taktiniais panašumais su kita grupe, žinoma kaip REF4322, kuri visų pirma skirta Vietnamo organizacijoms, kad įdiegtų implantą po išnaudojimo, vadinamą PHOREAL (taip pat žinomas kaip Rizzo).

Šie ryšiai paskatino spėlioti, kad tiek REF4322, tiek REF2754 grupės dalyvauja kampanijose, kurias suplanavo ir vykdo su Vietnamo valstybe susijusi grėsmė.

Tuo tarpu atskira kenkėjiška programa, žinoma kaip SOMNIRECORD, buvo susieta su įsibrovimų rinkiniu REF2924. SOMNIRECORD naudoja DNS užklausas, kad užmegztų ryšį su nuotoliniu serveriu ir išvengtų tinklo saugos kontrolės.

Panašiai kaip NAPLISTENER, SOMNIRECORD naudoja esamus atvirojo kodo projektus, kad padidintų savo galimybes. Jis gali rinkti informaciją apie užkrėstą sistemą, išvardyti visus veikiančius procesus, įdiegti žiniatinklio apvalkalą ir vykdyti visus esamus vykdomuosius failus, esančius pažeistame kompiuteryje.