Виетнамските публични компании са станали мишена на продължаваща кампания, в която се използва нова задна врата, наречена SPECTRALVIPER.

„SPECTRALVIPER е силно замаскиран, неразкрит досега backdoor за x64, който предоставя възможности за зареждане и инжектиране на PE, качване и изтегляне на файлове, манипулиране на файлове и директории и олицетворяване на токени“, се казва в доклад на Elastic Security Labs от петък.

Атаките са приписани на група, която тя проследява като REF2754, и се припокрива с виетнамска група за заплахи, известна като APT32, Canvas Cyclone (преди това Bismuth), Cobalt Kitty и OceanLotus.

През декември 2020 г. Meta свърза дейността на хакерския екип с компания за киберсигурност, наречена CyberOne Group.

В последния инфекциозен поток, разкрит от Elastic, полезната програма ProcDump на SysInternals се използва за зареждане на неподписан DLL файл, който съдържа DONUTLOADER, който на свой ред е конфигуриран за зареждане на SPECTRALVIPER и друг зловреден софтуер като P8LOADER или POWERSEAL.

SPECTRALVIPER е проектиран така, че да се свързва със сървър, контролиран от извършителя, и да очаква по-нататъшни команди, като същевременно използва методи за замаскиране, като например изравняване на потока на управление, за да се противопостави на анализа.

P8LOADER, написан на C++, е способен да стартира произволни полезни товари от файл или от паметта. Използва се и специално създаден PowerShell runner на име POWERSEAL, който е оборудван за стартиране на доставени PowerShell скриптове или команди.

Твърди се, че REF2754 споделя тактически общи черти с друга група, наречена REF4322, за която е известно, че се насочва предимно към виетнамски структури за внедряване на имплант за следексплоатация, наречен PHOREAL (известен още като Rizzo).

Връзките пораждат възможността „и двете групи за активност REF4322 и REF2754 да представляват кампании, планирани и изпълнявани от свързана с виетнамската държава заплаха“.

Констатациите идват, когато групата за проникване, наречена REF2924, е свързана с още един зловреден софтуер, наречен SOMNIRECORD, който използва DNS заявки за комуникация с отдалечен сървър и заобикаляне на контрола на мрежовата сигурност.

SOMNIRECORD, подобно на NAPLISTENER, използва съществуващи проекти с отворен код, за да усъвършенства възможностите си, което му позволява да извлича информация за заразената машина, да изготвя списък на всички стартирани процеси, да разгръща уеб обвивка и да стартира всеки изпълним файл, който вече се намира в системата.

„Използването на проекти с отворен код от страна на нападателя показва, че той предприема стъпки за адаптиране на съществуващите инструменти за специфичните си нужди и може да се опитва да противодейства на опитите за приписване“, казват от компанията.

Източник: The Hacker News

Подобни публикации

18 април 2025

Глобална компания за събития стана жертва на се...

Legends International, водещ доставчик на услуги за спортни, развле...
17 април 2025

Китайска APT група използва усъвършенстван бекд...

Нови версии на бекдора BrickStorm, използван при компрометирането н...
17 април 2025

Крис Кребс напуска SentinelOne заради войната с...

Бившият директор на Агенцията за киберсигурност и инфраструктурна с...
17 април 2025

Apple пусна спешни ъпдейти за iOS и macOS

На 17 април (сряда) Apple публикува извънредни ъпдейти за операцион...
17 април 2025

Starlink превзе интернет пазара в Нигерия, но н...

В началото на 2023 г. Нигерия стана първата африканска държава, в к...
16 април 2025

CISA гарантира непрекъсната работа на програмат...

Американската Агенция за киберсигурност и сигурност на инфраструкту...
16 април 2025

Програмата CVE може да остане без финансиране

На 16 април 2025 г. изтича финансирането от страна на федералното п...
16 април 2025

Рязък скок в компрометирането на лични данни: 1...

Според последни данни от Identity Theft Resource Center (ITRC), бро...
Бъдете социални
Още по темата
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
17/04/2025

Китайска APT група използва...

Нови версии на бекдора BrickStorm, използван...
15/04/2025

Кибератаки: 56% от случаите...

В нов доклад на Sophos, фирма...
Последно добавени
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
17/04/2025

Китайска APT група използва...

Нови версии на бекдора BrickStorm, използван...
17/04/2025

Крис Кребс напуска Sentinel...

Бившият директор на Агенцията за киберсигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!