Vijetnamska javna preduzeća su na meti kao dio tekuće kampanje koja postavlja novi backdoor pod nazivom SPECTRALVIPER.
“SPECTRALVIPER je nepoznat, prethodno neotkriven, x64 backdoor koji donosi PE učitavanje i ubrizgavanje, učitavanje i preuzimanje datoteka, manipulaciju datotekama i direktorijumom i mogućnosti lažnog predstavljanja tokena” navodi Elastic Security Labs u izvještaju.
Napadi su pripisani hakeru koji se prati kao REF2754 i koji se preklapa sa vijetnamskom grupom hakera poznatom kao APT32, Canvas Cyclone (ranije Bismuth), Cobalt Kitty i OceanLotus.
Meta je u decembru 2020. godine povezao aktivnosti hakerske ekipe sa kompanijom za kibernetičku bezbjednost pod nazivom CyberOne Group.
U najnovijem toku zaraze koji je otkrio Elastic, uslužni program SysInternals ProcDump koristi se za učitavanje nepotpisane DLL datoteke koja sadrži DONUTLOADER, koji je zauzvrat konfigurisan da učitava SPECTRALVIPER i drugi maliciozni softver kao što su P8LOADER ili POWERSEAL.
SPECTRALVIPER je dizajniran da kontaktira server koji kontroliše haker i čeka dalje komande, a takođe usvaja metode zamagljivanja kao što je izravnavanje kontrolnog toka kako bi se oduprlo analizi.
P8LOADER, napisan u C++, sposoban je za pokretanje proizvoljnih payload-a iz datoteke ili iz memorije. Takođe se koristi namenski napravljen PowerShell pokretač pod nazivom POWERSEAL koji je opremljen za pokretanje isporučenih PowerShell skripti ili komandi.
Rečeno je da REF2754 dijeli taktičke sličnosti sa drugom grupom nazvanom REF4322, za koju je poznato da prvenstveno cilja na vijetnamske entitete kako bi postavili implantat nakon eksploatacije koji se naziva PHOREAL (aka Rizzo).
Veze su povećale mogućnost da “i REF4322 i REF2754 grupe aktivnosti predstavljaju kampanje planirane i izvedene od strane pretnje povezane s vijetnamskom državom.”
Nalazi dolaze nakon što je skup za upad pod imenom REF2924 vezan za još jedan maliciozni softver pod nazivom SOMNIRECORD koji koristi DNS upite za komunikaciju sa udaljenim serverom i zaobilaženje mrežnih sigurnosnih kontrola.
SOMNIRECORD, poput NAPLISTENER-a, koristi postojeće projekte otvorenog koda kako bi poboljšao svoje mogućnosti, omogućavajući mu da preuzme informacije o zaraženoj mašini, navede sve pokrenute procese, postavi web shell i pokrene bilo koju izvršnu datoteku koja je već prisutna u sistemu.
“Korišćenje projekata otvorenog koda od strane napadača ukazuje na to da oni poduzimaju korake da prilagode postojeće alate za svoje specifične potrebe i možda pokušavaju da se suprotstave pokušajima atribucije” kažu iz kompanije.
Izvor: The Hacker News