Spectralviper Malware richt zich op Vietnamese bedrijven

Vietnamese overheidsbedrijven zijn het middelpunt geworden van een doorlopend initiatief dat gebruik maakt van een innovatieve geheime methode die bekend staat als SPECTRALVIPER.

Elastic Security Labs beschreef SPECTRALVIPER in een recent rapport als een zeer verborgen achterdeur, voorheen niet bekendgemaakt, speciaal ontworpen voor x64-systemen. Het beschikt over verschillende functionaliteiten, waaronder het laden en injecteren van PE, het uploaden en downloaden van bestanden, het manipuleren van bestanden en mappen en het nabootsen van tokens.

De aanvallen zijn gekoppeld aan een actor die bekend staat als REF2754, die overeenkomsten vertoont met een Vietnamese dreigingsgroep die APT32 wordt genoemd, Canvas Cyclone (voorheen Bismuth), Cobalt Kitty en OceanLotus.

Meta bracht de activiteiten van deze hackgroep in december 2020 eerder in verband met een cyberbeveiligingsbedrijf genaamd CyberOne Group.

Spectralviper-bedrijfsmodus

Bij de laatste aanval die door Elastic is ontdekt, wordt het hulpprogramma SysInternals ProcDump gebruikt om een niet-ondertekend DLL-bestand met DONUTLOADER te laden. DONUTLOADER wordt vervolgens geconfigureerd om SPECTRALVIPER te laden samen met andere malware zoals P8LOADER of POWERSEAL.

SPECTRALVIPER is geprogrammeerd om te communiceren met een server die wordt bestuurd door de acteur, in afwachting van verdere instructies. Het maakt gebruik van verduisteringstechnieken zoals het afvlakken van de stroom om de analyse te belemmeren.

P8LOADER, geschreven in C++, heeft de mogelijkheid om willekeurige payloads uit een bestand of geheugen uit te voeren. Bovendien wordt een op maat gemaakte PowerShell-runner met de naam POWERSEAL gebruikt om meegeleverde PowerShell-scripts of -opdrachten uit te voeren.

REF2754 deelt tactische overeenkomsten met een andere groep die bekend staat als REF4322, die zich voornamelijk richt op Vietnamese organisaties om een post-exploitatie-implantaat genaamd PHOREAL (ook bekend als Rizzo) in te zetten.

Deze connecties hebben geleid tot speculaties dat zowel de REF4322- als de REF2754-groepen betrokken zijn bij campagnes die zijn gepland en uitgevoerd door een aan de Vietnamese staat gelieerde dreiging.

Ondertussen is een afzonderlijke malware, bekend als SOMNIIRECORD, in verband gebracht met de inbraakset REF2924. SOMNIIRECORD gebruikt DNS-query's om communicatie met een externe server tot stand te brengen en netwerkbeveiligingscontroles te omzeilen.

Net als NAPLISTENER maakt SOMNIIRECORD gebruik van bestaande open source-projecten om zijn mogelijkheden te verbeteren. Het kan informatie verzamelen over het geïnfecteerde systeem, een lijst maken van alle actieve processen, een webshell implementeren en alle reeds bestaande uitvoerbare bestanden op de gecompromitteerde machine uitvoeren.