Złośliwe oprogramowanie Spectralviper atakuje wietnamskie korporacje

Wietnamskie korporacje publiczne stały się przedmiotem trwającej inicjatywy, która wykorzystuje innowacyjną tajną metodę znaną jako SPECTRALVIPER.

Firma Elastic Security Labs w niedawnym raporcie opisała SPECTRALVIPER jako wysoce zaciemniony backdoor, wcześniej nieujawniony, zaprojektowany specjalnie dla systemów x64. Posiada różne funkcje, w tym ładowanie i wstrzykiwanie PE, przesyłanie i pobieranie plików, manipulowanie plikami i katalogami oraz możliwości podszywania się pod tokeny.

Ataki zostały powiązane z aktorem znanym jako REF2754, który jest podobny do wietnamskiej grupy zagrożeń określanej jako APT32, Canvas Cyclone (wcześniej Bismuth), Cobalt Kitty i OceanLotus.

Meta wcześniej kojarzyła działania tej grupy hakerskiej z firmą zajmującą się cyberbezpieczeństwem o nazwie CyberOne Group w grudniu 2020 r.

Tryb działania Spectralvipera

W ostatnim ataku wykrytym przez Elastic narzędzie SysInternals ProcDump jest wykorzystywane do załadowania niepodpisanego pliku DLL zawierającego DONUTLOADER. Następnie DONUTLOADER jest konfigurowany do ładowania SPECTRALVIPER wraz z innym złośliwym oprogramowaniem, takim jak P8LOADER lub POWERSEAL.

SPECTRALVIPER jest zaprogramowany do komunikowania się z serwerem kontrolowanym przez aktora w oczekiwaniu na dalsze instrukcje. Wykorzystuje techniki zaciemniania, takie jak spłaszczanie przepływu sterowania, aby utrudniać analizę.

P8LOADER, napisany w C++, ma możliwość wykonywania dowolnych ładunków z pliku lub pamięci. Ponadto do uruchamiania dostarczonych skryptów lub poleceń programu PowerShell jest używany niestandardowy moduł uruchamiający PowerShell o nazwie POWERSEAL.

REF2754 ma wspólne podobieństwa taktyczne z inną grupą znaną jako REF4322, której głównym celem są wietnamskie organizacje w celu rozmieszczenia implantu poeksploatacyjnego o nazwie PHOREAL (znanego również jako Rizzo).

Powiązania te doprowadziły do spekulacji, że zarówno grupy REF4322, jak i REF2754 są zaangażowane w kampanie planowane i realizowane przez wietnamskie zagrożenie powiązane z państwem.

Tymczasem osobne złośliwe oprogramowanie znane jako SOMNIRECORD zostało powiązane z zestawem włamań REF2924. SOMNIRECORD wykorzystuje zapytania DNS do nawiązania komunikacji ze zdalnym serwerem i obejścia kontroli bezpieczeństwa sieci.

Podobnie jak NAPLISTENER, SOMNIRECORD wykorzystuje istniejące projekty open source w celu zwiększenia swoich możliwości. Może zbierać informacje o zainfekowanym systemie, wyświetlać listę wszystkich uruchomionych procesów, wdrażać powłokę sieciową i uruchamiać wszelkie istniejące wcześniej pliki wykonywalne obecne na zaatakowanej maszynie.