Нова задна врата на SPECTRALVIPER

Виетнамските публични компании са станали мишена на продължаваща кампания, в която се използва нова задна врата, наречена SPECTRALVIPER.

„SPECTRALVIPER е силно замаскиран, неразкрит досега backdoor за x64, който предоставя възможности за зареждане и инжектиране на PE, качване и изтегляне на файлове, манипулиране на файлове и директории и олицетворяване на токени“, се казва в доклад на Elastic Security Labs от петък.

Атаките са приписани на група, която тя проследява като REF2754, и се припокрива с виетнамска група за заплахи, известна като APT32, Canvas Cyclone (преди това Bismuth), Cobalt Kitty и OceanLotus.

През декември 2020 г. Meta свърза дейността на хакерския екип с компания за киберсигурност, наречена CyberOne Group.

В последния инфекциозен поток, разкрит от Elastic, полезната програма ProcDump на SysInternals се използва за зареждане на неподписан DLL файл, който съдържа DONUTLOADER, който на свой ред е конфигуриран за зареждане на SPECTRALVIPER и друг зловреден софтуер като P8LOADER или POWERSEAL.

SPECTRALVIPER е проектиран така, че да се свързва със сървър, контролиран от извършителя, и да очаква по-нататъшни команди, като същевременно използва методи за замаскиране, като например изравняване на потока на управление, за да се противопостави на анализа.

P8LOADER, написан на C++, е способен да стартира произволни полезни товари от файл или от паметта. Използва се и специално създаден PowerShell runner на име POWERSEAL, който е оборудван за стартиране на доставени PowerShell скриптове или команди.

Твърди се, че REF2754 споделя тактически общи черти с друга група, наречена REF4322, за която е известно, че се насочва предимно към виетнамски структури за внедряване на имплант за следексплоатация, наречен PHOREAL (известен още като Rizzo).

Връзките пораждат възможността „и двете групи за активност REF4322 и REF2754 да представляват кампании, планирани и изпълнявани от свързана с виетнамската държава заплаха“.

Констатациите идват, когато групата за проникване, наречена REF2924, е свързана с още един зловреден софтуер, наречен SOMNIRECORD, който използва DNS заявки за комуникация с отдалечен сървър и заобикаляне на контрола на мрежовата сигурност.

SOMNIRECORD, подобно на NAPLISTENER, използва съществуващи проекти с отворен код, за да усъвършенства възможностите си, което му позволява да извлича информация за заразената машина, да изготвя списък на всички стартирани процеси, да разгръща уеб обвивка и да стартира всеки изпълним файл, който вече се намира в системата.

„Използването на проекти с отворен код от страна на нападателя показва, че той предприема стъпки за адаптиране на съществуващите инструменти за специфичните си нужди и може да се опитва да противодейства на опитите за приписване“, казват от компанията.

Източник: The Hacker News

Подобни публикации

4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
3 октомври 2023

ФБР предупреждава за ръст на измамите с "фантом...

ФБР публикува съобщение за обществена услуга, в което предупреждава...
3 октомври 2023

Новият ASMCrypt Malware Loader лети под радара

Киберпрестъпници продават нов софтуер за криптиране и зареждане, на...
Бъдете социални
Още по темата
03/10/2023

Новият ASMCrypt Malware Loa...

Киберпрестъпници продават нов софтуер за криптиране...
02/10/2023

Motel One призна нарушение ...

Групата Motel One обяви, че е...
01/10/2023

Нова атака на Marvin съживя...

Недостатък, свързан с подложката PKCS #1...
Последно добавени
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
04/10/2023

Над 3 дузини зловредни паке...

Според констатации на Fortinet FortiGuard Labs...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!