Las empresas públicas vietnamitas han sido atacadas como parte de una campaña en curso que despliega una nueva puerta trasera llamada VÍBORA ESPECTRAL.
«SPECTRALVIPER es una puerta trasera x64 fuertemente ofuscada, previamente no revelada, que brinda carga e inyección de PE, carga y descarga de archivos, manipulación de archivos y directorios y capacidades de suplantación de tokens», Elastic Security Labs dicho en un informe del viernes.
Los ataques se han atribuido a un actor al que rastrea como REF2754, que se superpone con un grupo de amenazas vietnamita conocido como APT32, Canvas Cyclone (anteriormente Bismuth), Cobalt Kitty y OceanLotus.
Meta, en diciembre de 2020, vinculó las actividades del equipo de piratería a una empresa de ciberseguridad llamada CyberOne Group.
En el último flujo de infección descubierto por Elastic, SysInternals ProcDump La utilidad se aprovecha para cargar un archivo DLL sin firmar que contiene DONUTLOADER, que, a su vez, está configurado para cargar SPECTRALVIPER y otro malware como P8LOADER o POWERSEAL.
SPECTRALVIPER está diseñado para ponerse en contacto con un servidor controlado por un actor y espera más comandos al mismo tiempo que adopta métodos de ofuscación como aplanamiento del flujo de control para resistir el análisis.
P8LOADER, escrito en C++, es capaz de lanzar cargas útiles arbitrarias desde un archivo o desde la memoria. También se utiliza un ejecutor de PowerShell especialmente diseñado llamado POWERSEAL que está equipado para ejecutar scripts o comandos de PowerShell suministrados.
Se dice que REF2754 comparte puntos en común tácticos con otro grupo denominado REF4322que se sabe que apunta principalmente a entidades vietnamitas para implementar un implante posterior a la explotación denominado PHOREAL (alias Rizzo).
Las conexiones han planteado la posibilidad de que «tanto los grupos de actividad REF4322 como REF2754 representen campañas planificadas y ejecutadas por una amenaza afiliada al estado vietnamita».
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Los hallazgos se producen cuando el conjunto de intrusión denominado REF2924 se ha vinculado a otra pieza de malware llamada SOMNIRECORD que emplea consultas DNS para comunicarse con un servidor remoto y eludir los controles de seguridad de la red.
SOMNIRECORD, como NAPLISTENER, utiliza proyectos de código abierto existentes para perfeccionar sus capacidades, lo que le permite recuperar información sobre la máquina infectada, enumerar todos los procesos en ejecución, implementar un shell web y ejecutar cualquier ejecutable que ya esté presente en el sistema.
«El uso de proyectos de código abierto por parte del atacante indica que está tomando medidas para personalizar las herramientas existentes para sus necesidades específicas y puede estar intentando contrarrestar los intentos de atribución», dijo la compañía.