Spectralviper Malware retter seg mot vietnamesiske selskaper

Vietnamesiske offentlige selskaper har blitt fokus for et pågående initiativ som bruker en innovativ skjult metode kjent som SPECTRALVIPER.

Elastic Security Labs beskrev i en fersk rapport SPECTRALVIPER som en svært skjult bakdør, tidligere ikke avslørt, spesielt designet for x64-systemer. Den har forskjellige funksjoner, inkludert PE-lasting og -injeksjon, filopplasting og nedlasting, fil- og katalogmanipulering og token-etterligning.

Angrepene har vært knyttet til en skuespiller kjent som REF2754, som deler likheter med en vietnamesisk trusselgruppe referert til som APT32, Canvas Cyclone (tidligere Bismuth), Cobalt Kitty og OceanLotus.

Meta assosierte tidligere aktivitetene til denne hackergruppen med et cybersikkerhetsselskap ved navn CyberOne Group i desember 2020.

Spectralviper Driftsmodus

I det siste angrepet som ble avdekket av Elastic, brukes SysInternals ProcDump-verktøyet til å laste en usignert DLL-fil som inneholder DONUTLOADER. DONUTLOADER er deretter konfigurert til å laste SPECTRALVIPER sammen med annen skadelig programvare som P8LOADER eller POWERSEAL.

SPECTRALVIPER er programmert til å kommunisere med en server kontrollert av skuespilleren, i påvente av ytterligere instruksjoner. Den bruker tilsløringsteknikker som kontrollflytutflating for å hindre analyse.

P8LOADER, skrevet i C++, har muligheten til å utføre vilkårlige nyttelaster fra en fil eller et minne. I tillegg brukes en spesialbygd PowerShell-løper kalt POWERSEAL for å kjøre medfølgende PowerShell-skript eller kommandoer.

REF2754 deler taktiske likheter med en annen gruppe kjent som REF4322, som primært retter seg mot vietnamesiske organisasjoner for å distribuere et implantat etter utnyttelse kalt PHOREAL (også kjent som Rizzo).

Disse forbindelsene har ført til spekulasjoner om at både REF4322- og REF2754-gruppene er engasjert i kampanjer planlagt og utført av en vietnamesisk statstilknyttet trussel.

I mellomtiden har en separat skadelig programvare kjent som SOMNIRECORD blitt assosiert med inntrengningssettet REF2924. SOMNIRECORD bruker DNS-spørringer for å etablere kommunikasjon med en ekstern server og unngå nettverkssikkerhetskontroller.

I likhet med NAPLISTENER, utnytter SOMNIRECORD eksisterende åpen kildekode-prosjekter for å forbedre sine evner. Den kan samle informasjon om det infiserte systemet, liste opp alle kjørende prosesser, distribuere et web-shell og kjøre alle eksisterende kjørbare filer på den kompromitterte maskinen.