Вредоносное ПО Spectraviper нацелено на вьетнамские корпорации

Вьетнамские государственные корпорации оказались в центре продолжающейся инициативы, в которой используется инновационный секретный метод, известный как SPECTRALVIPER.

Elastic Security Labs в недавнем отчете описала SPECTRALVIPER как очень малоизвестный бэкдор, ранее не разглашаемый, специально разработанный для систем x64. Он обладает различными функциями, включая загрузку и внедрение PE, загрузку и загрузку файлов, манипулирование файлами и каталогами, а также возможности олицетворения токенов.

Атаки были связаны с субъектом, известным как REF2754, который имеет сходство с вьетнамской группой угроз, известной как APT32, Canvas Cyclone (ранее Bismuth), Cobalt Kitty и OceanLotus.

Ранее Meta связывала деятельность этой хакерской группы с компанией CyberOne Group, занимающейся кибербезопасностью, в декабре 2020 года.

Spectralviper Режим работы

В последней атаке, обнаруженной Elastic, утилита SysInternals ProcDump используется для загрузки неподписанного DLL-файла, содержащего DONUTLOADER. Затем DONUTLOADER настраивается на загрузку SPECTRALVIPER вместе с другими вредоносными программами, такими как P8LOADER или POWERSEAL.

SPECTRALVIPER запрограммирован на связь с сервером, контролируемым актером, в ожидании дальнейших инструкций. Он использует методы запутывания, такие как выравнивание потока управления, чтобы затруднить анализ.

P8LOADER, написанный на C++, может выполнять произвольные полезные нагрузки из файла или памяти. Кроме того, специально созданная программа запуска PowerShell с именем POWERSEAL используется для запуска предоставленных сценариев или команд PowerShell.

REF2754 имеет тактическое сходство с другой группой, известной как REF4322, которая в первую очередь нацелена на вьетнамские организации для развертывания имплантата после эксплуатации под названием PHOREAL (также известного как Rizzo).

Эти связи привели к предположению, что группы REF4322 и REF2754 участвуют в кампаниях, спланированных и проводимых вьетнамской государственной угрозой.

Между тем, отдельное вредоносное ПО, известное как SOMNIRECORD, было связано с набором вторжений REF2924. SOMNIRECORD использует DNS-запросы для установления связи с удаленным сервером и обхода средств контроля сетевой безопасности.

Подобно NAPLISTENER, SOMNIRECORD использует существующие проекты с открытым исходным кодом для расширения своих возможностей. Он может собирать информацию о зараженной системе, составлять список всех запущенных процессов, развертывать веб-оболочку и выполнять любые ранее существовавшие исполняемые файлы, присутствующие на скомпрометированной машине.