Виетнамските публични компании са станали мишена на продължаваща кампания, в която се използва нова задна врата, наречена SPECTRALVIPER.
„SPECTRALVIPER е силно замаскиран, неразкрит досега backdoor за x64, който предоставя възможности за зареждане и инжектиране на PE, качване и изтегляне на файлове, манипулиране на файлове и директории и олицетворяване на токени“, се казва в доклад на Elastic Security Labs от петък.
Атаките са приписани на група, която тя проследява като REF2754, и се припокрива с виетнамска група за заплахи, известна като APT32, Canvas Cyclone (преди това Bismuth), Cobalt Kitty и OceanLotus.
През декември 2020 г. Meta свърза дейността на хакерския екип с компания за киберсигурност, наречена CyberOne Group.
В последния инфекциозен поток, разкрит от Elastic, полезната програма ProcDump на SysInternals се използва за зареждане на неподписан DLL файл, който съдържа DONUTLOADER, който на свой ред е конфигуриран за зареждане на SPECTRALVIPER и друг зловреден софтуер като P8LOADER или POWERSEAL.
SPECTRALVIPER е проектиран така, че да се свързва със сървър, контролиран от извършителя, и да очаква по-нататъшни команди, като същевременно използва методи за замаскиране, като например изравняване на потока на управление, за да се противопостави на анализа.
P8LOADER, написан на C++, е способен да стартира произволни полезни товари от файл или от паметта. Използва се и специално създаден PowerShell runner на име POWERSEAL, който е оборудван за стартиране на доставени PowerShell скриптове или команди.
Твърди се, че REF2754 споделя тактически общи черти с друга група, наречена REF4322, за която е известно, че се насочва предимно към виетнамски структури за внедряване на имплант за следексплоатация, наречен PHOREAL (известен още като Rizzo).
Връзките пораждат възможността „и двете групи за активност REF4322 и REF2754 да представляват кампании, планирани и изпълнявани от свързана с виетнамската държава заплаха“.
Констатациите идват, когато групата за проникване, наречена REF2924, е свързана с още един зловреден софтуер, наречен SOMNIRECORD, който използва DNS заявки за комуникация с отдалечен сървър и заобикаляне на контрола на мрежовата сигурност.
SOMNIRECORD, подобно на NAPLISTENER, използва съществуващи проекти с отворен код, за да усъвършенства възможностите си, което му позволява да извлича информация за заразената машина, да изготвя списък на всички стартирани процеси, да разгръща уеб обвивка и да стартира всеки изпълним файл, който вече се намира в системата.
„Използването на проекти с отворен код от страна на нападателя показва, че той предприема стъпки за адаптиране на съществуващите инструменти за специфичните си нужди и може да се опитва да противодейства на опитите за приписване“, казват от компанията.
