Виетнамските публични компании са станали мишена на продължаваща кампания, в която се използва нова задна врата, наречена SPECTRALVIPER.
„SPECTRALVIPER е силно замаскиран, неразкрит досега backdoor за x64, който предоставя възможности за зареждане и инжектиране на PE, качване и изтегляне на файлове, манипулиране на файлове и директории и олицетворяване на токени“, се казва в доклад на Elastic Security Labs от петък.
Атаките са приписани на група, която тя проследява като REF2754, и се припокрива с виетнамска група за заплахи, известна като APT32, Canvas Cyclone (преди това Bismuth), Cobalt Kitty и OceanLotus.
През декември 2020 г. Meta свърза дейността на хакерския екип с компания за киберсигурност, наречена CyberOne Group.
В последния инфекциозен поток, разкрит от Elastic, полезната програма ProcDump на SysInternals се използва за зареждане на неподписан DLL файл, който съдържа DONUTLOADER, който на свой ред е конфигуриран за зареждане на SPECTRALVIPER и друг зловреден софтуер като P8LOADER или POWERSEAL.
SPECTRALVIPER е проектиран така, че да се свързва със сървър, контролиран от извършителя, и да очаква по-нататъшни команди, като същевременно използва методи за замаскиране, като например изравняване на потока на управление, за да се противопостави на анализа.
P8LOADER, написан на C++, е способен да стартира произволни полезни товари от файл или от паметта. Използва се и специално създаден PowerShell runner на име POWERSEAL, който е оборудван за стартиране на доставени PowerShell скриптове или команди.
Твърди се, че REF2754 споделя тактически общи черти с друга група, наречена REF4322, за която е известно, че се насочва предимно към виетнамски структури за внедряване на имплант за следексплоатация, наречен PHOREAL (известен още като Rizzo).
Връзките пораждат възможността „и двете групи за активност REF4322 и REF2754 да представляват кампании, планирани и изпълнявани от свързана с виетнамската държава заплаха“.
Констатациите идват, когато групата за проникване, наречена REF2924, е свързана с още един зловреден софтуер, наречен SOMNIRECORD, който използва DNS заявки за комуникация с отдалечен сървър и заобикаляне на контрола на мрежовата сигурност.
SOMNIRECORD, подобно на NAPLISTENER, използва съществуващи проекти с отворен код, за да усъвършенства възможностите си, което му позволява да извлича информация за заразената машина, да изготвя списък на всички стартирани процеси, да разгръща уеб обвивка и да стартира всеки изпълним файл, който вече се намира в системата.
„Използването на проекти с отворен код от страна на нападателя показва, че той предприема стъпки за адаптиране на съществуващите инструменти за специфичните си нужди и може да се опитва да противодейства на опитите за приписване“, казват от компанията.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.