Spectralviper 恶意软件瞄准越南公司

越南公共公司已成为一项正在进行的计划的焦点，该计划采用一种称为 SPECTRALVIPER 的创新秘密方法。

Elastic Security Labs 在最近的一份报告中将 SPECTRALVIPER 描述为高度隐蔽的后门，之前未公开，专门为 x64 系统设计。它具有多种功能，包括 PE 加载和注入、文件上传和下载、文件和目录操作以及令牌模拟功能。

这些攻击与名为 REF2754 的攻击者有关，该攻击者与名为 APT32、Canvas Cyclone（以前称为 Bismuth）、Cobalt Kitty 和 OceanLotus 的越南威胁组织有相似之处。

Meta 此前曾在 2020 年 12 月将该黑客组织的活动与一家名为 CyberOne Group 的网络安全公司联系起来。

Spectralviper 操作模式

在 Elastic 发现的最新攻击中，SysInternals ProcDump 实用程序被用来加载包含 DONUTLOADER 的未签名 DLL 文件。然后将 DONUTLOADER 配置为加载 SPECTRALVIPER 以及其他恶意软件，如 P8LOADER 或 POWERSEAL。

SPECTRALVIPER 被编程为与演员控制的服务器通信，等待进一步的指示。它采用混淆技术，例如控制流扁平化来阻碍分析。

P8LOADER 是用 C++ 编写的，能够从文件或内存中执行任意负载。此外，名为 POWERSEAL 的定制 PowerShell 运行程序用于运行提供的 PowerShell 脚本或命令。

REF2754 与另一个名为 REF4322 的组织在战术上有相似之处，后者主要针对越南组织部署名为 PHOREAL（也称为 Rizzo）的开发后植入物。

这些联系导致人们猜测 REF4322 和 REF2754 组织都参与了由越南国家附属威胁组织计划和执行的活动。

同时，一个名为 SOMNIRECORD 的单独恶意软件已与入侵集 REF2924 相关联。 SOMNIRECORD 使用 DNS 查询与远程服务器建立通信并规避网络安全控制。

与 NAPLISTENER 类似，SOMNIRECORD 利用现有的开源项目来增强其功能。它可以收集有关受感染系统的信息，列出所有正在运行的进程，部署 web shell，并执行受感染机器上存在的任何预先存在的可执行文件。