Spectralviper Malware riktar sig till vietnamesiska företag

Vietnamesiska offentliga företag har blivit fokus för ett pågående initiativ som använder en innovativ hemlig metod som kallas SPECTRALVIPER.

Elastic Security Labs, i en färsk rapport, beskrev SPECTRALVIPER som en mycket dold bakdörr, tidigare okänd, speciellt designad för x64-system. Den har olika funktioner, inklusive PE-laddning och -injektion, filuppladdning och -nedladdning, fil- och katalogmanipulation och token-imitation.

Attackerna har kopplats till en aktör känd som REF2754, som delar likheter med en vietnamesisk hotgrupp som kallas APT32, Canvas Cyclone (tidigare Bismuth), Cobalt Kitty och OceanLotus.

Meta associerade tidigare aktiviteterna i denna hackergrupp med ett cybersäkerhetsföretag vid namn CyberOne Group i december 2020.

Spectralviper Funktionssätt

I den senaste attacken som avslöjats av Elastic, används SysInternals ProcDump-verktyget för att ladda en osignerad DLL-fil som innehåller DONUTLOADER. DONUTLOADER konfigureras sedan för att ladda SPECTRALVIPER tillsammans med annan skadlig programvara som P8LOADER eller POWERSEAL.

SPECTRALVIPER är programmerad att kommunicera med en server som kontrolleras av skådespelaren, i väntan på ytterligare instruktioner. Den använder obfuskeringstekniker som kontrollflödesutjämning för att hindra analys.

P8LOADER, skriven i C++, har förmågan att exekvera godtyckliga nyttolaster från en fil eller ett minne. Dessutom används en specialbyggd PowerShell-löpare vid namn POWERSEAL för att köra medföljande PowerShell-skript eller kommandon.

REF2754 delar taktiska likheter med en annan grupp känd som REF4322, som främst riktar sig till vietnamesiska organisationer för att distribuera ett implantat efter exploatering som kallas PHOREAL (även känt som Rizzo).

Dessa kopplingar har lett till spekulationer om att både REF4322- och REF2754-grupperna är engagerade i kampanjer som planeras och genomförs av ett vietnamesiskt statsanslutet hot.

Under tiden har en separat skadlig programvara känd som SOMNIRECORD associerats med intrångssetet REF2924. SOMNIRECORD använder DNS-frågor för att upprätta kommunikation med en fjärrserver och undvika nätverkssäkerhetskontroller.

I likhet med NAPLISTENER utnyttjar SOMNIRECORD befintliga projekt med öppen källkod för att förbättra dess kapacitet. Den kan samla in information om det infekterade systemet, lista alla processer som körs, distribuera ett webbskal och köra alla redan existerande körbara filer som finns på den komprometterade maskinen.