Spectralviper 惡意軟件瞄準越南公司

越南公共公司已成為一項正在進行的計劃的焦點，該計劃採用一種稱為 SPECTRALVIPER 的創新秘密方法。

Elastic Security Labs 在最近的一份報告中將 SPECTRALVIPER 描述為高度隱蔽的後門，之前未公開，專門為 x64 系統設計。它具有多種功能，包括 PE 加載和注入、文件上傳和下載、文件和目錄操作以及令牌模擬功能。

這些攻擊與名為 REF2754 的攻擊者有關，該攻擊者與名為 APT32、Canvas Cyclone（以前稱為 Bismuth）、Cobalt Kitty 和 OceanLotus 的越南威脅組織有相似之處。

Meta 此前曾在 2020 年 12 月將該黑客組織的活動與一家名為 CyberOne Group 的網絡安全公司聯繫起來。

Spectralviper 操作模式

在 Elastic 發現的最新攻擊中，SysInternals ProcDump 實用程序被用來加載包含 DONUTLOADER 的未簽名 DLL 文件。然後將 DONUTLOADER 配置為加載 SPECTRALVIPER 以及其他惡意軟件，如 P8LOADER 或 POWERSEAL。

SPECTRALVIPER 被編程為與演員控制的服務器通信，等待進一步的指示。它採用混淆技術，例如控制流扁平化來阻礙分析。

P8LOADER 是用 C++ 編寫的，能夠從文件或內存中執行任意負載。此外，名為 POWERSEAL 的定制 PowerShell 運行程序用於運行提供的 PowerShell 腳本或命令。

REF2754 與另一個名為 REF4322 的組織在戰術上有相似之處，後者主要針對越南組織部署名為 PHOREAL（也稱為 Rizzo）的開發後植入物。

這些聯繫導致人們猜測 REF4322 和 REF2754 組織都參與了由越南國家附屬威脅組織計劃和執行的活動。

同時，一個名為 SOMNIRECORD 的單獨惡意軟件已與入侵集 REF2924 相關聯。 SOMNIRECORD 使用 DNS 查詢與遠程服務器建立通信並規避網絡安全控制。

與 NAPLISTENER 類似，SOMNIRECORD 利用現有的開源項目來增強其功能。它可以收集有關受感染系統的信息，列出所有正在運行的進程，部署 web shell，並執行受感染機器上存在的任何預先存在的可執行文件。