Malware Spectralviper tem como alvo corporações vietnamitas

As empresas públicas vietnamitas tornaram-se o foco de uma iniciativa contínua que emprega um método secreto inovador conhecido como SPECTRALVIPER.

O Elastic Security Labs, em um relatório recente, descreveu o SPECTRALVIPER como um backdoor altamente obscuro, anteriormente não revelado, projetado especificamente para sistemas x64. Ele possui várias funcionalidades, incluindo carregamento e injeção de PE, upload e download de arquivos, manipulação de arquivos e diretórios e recursos de representação de token.

Os ataques foram vinculados a um ator conhecido como REF2754, que compartilha semelhanças com um grupo de ameaças vietnamita conhecido como APT32, Canvas Cyclone (anteriormente Bismuth), Cobalt Kitty e OceanLotus.

A Meta associou anteriormente as atividades desse grupo de hackers a uma empresa de segurança cibernética chamada CyberOne Group em dezembro de 2020.

Modo de operação do Spectralviper

No último ataque descoberto pela Elastic, o utilitário SysInternals ProcDump é utilizado para carregar um arquivo DLL não assinado contendo DONUTLOADER. DONUTLOADER é então configurado para carregar SPECTRALVIPER junto com outro malware como P8LOADER ou POWERSEAL.

O SPECTRALVIPER está programado para se comunicar com um servidor controlado pelo ator, aguardando novas instruções. Ele emprega técnicas de ofuscação, como nivelamento de fluxo de controle, para dificultar a análise.

O P8LOADER, escrito em C++, tem a capacidade de executar cargas arbitrárias de um arquivo ou memória. Além disso, um executor do PowerShell personalizado chamado POWERSEAL é utilizado para executar scripts ou comandos do PowerShell fornecidos.

O REF2754 compartilha semelhanças táticas com outro grupo conhecido como REF4322, que visa principalmente organizações vietnamitas para implantar um implante pós-exploração chamado PHOREAL (também conhecido como Rizzo).

Essas conexões levaram à especulação de que os grupos REF4322 e REF2754 estão envolvidos em campanhas planejadas e executadas por uma ameaça afiliada ao estado vietnamita.

Enquanto isso, um malware separado conhecido como SOMNIRECORD foi associado ao conjunto de intrusão REF2924. SOMNIRECORD emprega consultas de DNS para estabelecer comunicação com um servidor remoto e evitar os controles de segurança da rede.

Semelhante ao NAPLISTENER, o SOMNIRECORD aproveita os projetos de código aberto existentes para aprimorar seus recursos. Ele pode coletar informações sobre o sistema infectado, listar todos os processos em execução, implantar um shell da web e executar qualquer arquivo executável pré-existente presente na máquina comprometida.