Las empresas p\u00fablicas vietnamitas han sido atacadas como parte de una campa\u00f1a en curso que despliega una nueva puerta trasera llamada V\u00cdBORA ESPECTRAL<\/strong>.<\/p>\n “SPECTRALVIPER es una puerta trasera x64 fuertemente ofuscada, previamente no revelada, que brinda carga e inyecci\u00f3n de PE, carga y descarga de archivos, manipulaci\u00f3n de archivos y directorios y capacidades de suplantaci\u00f3n de tokens”, Elastic Security Labs dicho<\/a> en un informe del viernes.<\/p>\n Los ataques se han atribuido a un actor al que rastrea como REF2754, que se superpone con un grupo de amenazas vietnamita conocido como APT32, Canvas Cyclone (anteriormente Bismuth), Cobalt Kitty y OceanLotus.<\/p>\n Meta, en diciembre de 2020, vincul\u00f3 las actividades del equipo de pirater\u00eda a una empresa de ciberseguridad llamada CyberOne Group.<\/p>\n En el \u00faltimo flujo de infecci\u00f3n descubierto por Elastic, SysInternals ProcDump<\/a> La utilidad se aprovecha para cargar un archivo DLL sin firmar que contiene DONUTLOADER, que, a su vez, est\u00e1 configurado para cargar SPECTRALVIPER y otro malware como P8LOADER o POWERSEAL.<\/p>\n SPECTRALVIPER est\u00e1 dise\u00f1ado para ponerse en contacto con un servidor controlado por un actor y espera m\u00e1s comandos al mismo tiempo que adopta m\u00e9todos de ofuscaci\u00f3n como aplanamiento del flujo de control<\/a> para resistir el an\u00e1lisis.<\/p>\n P8LOADER, escrito en C++, es capaz de lanzar cargas \u00fatiles arbitrarias desde un archivo o desde la memoria. Tambi\u00e9n se utiliza un ejecutor de PowerShell especialmente dise\u00f1ado llamado POWERSEAL que est\u00e1 equipado para ejecutar scripts o comandos de PowerShell suministrados.<\/p>\n Se dice que REF2754 comparte puntos en com\u00fan t\u00e1cticos con otro grupo denominado REF4322<\/a>que se sabe que apunta principalmente a entidades vietnamitas para implementar un implante posterior a la explotaci\u00f3n denominado PHOREAL<\/a> (alias Rizzo).<\/p>\n Las conexiones han planteado la posibilidad de que “tanto los grupos de actividad REF4322 como REF2754 representen campa\u00f1as planificadas y ejecutadas por una amenaza afiliada al estado vietnamita”.<\/p>\n \ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n \u00danase a la sesi\u00f3n<\/a><\/div>\n Los hallazgos se producen cuando el conjunto de intrusi\u00f3n denominado REF2924 se ha vinculado a otra pieza de malware llamada SOMNIRECORD<\/a> que emplea consultas DNS para comunicarse con un servidor remoto y eludir los controles de seguridad de la red.<\/p>\n SOMNIRECORD, como NAPLISTENER, utiliza proyectos de c\u00f3digo abierto existentes para perfeccionar sus capacidades, lo que le permite recuperar informaci\u00f3n sobre la m\u00e1quina infectada, enumerar todos los procesos en ejecuci\u00f3n, implementar un shell web y ejecutar cualquier ejecutable que ya est\u00e9 presente en el sistema.<\/p>\n “El uso de proyectos de c\u00f3digo abierto por parte del atacante indica que est\u00e1 tomando medidas para personalizar las herramientas existentes para sus necesidades espec\u00edficas y puede estar intentando contrarrestar los intentos de atribuci\u00f3n”, dijo la compa\u00f1\u00eda.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Nueva-campana-de-malware-que-aprovecha-Satacom-Downloader-para-robar.png\")
<\/a><\/center><\/div>\n![\"Puerta](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1686405457_732_Nueva-puerta-trasera-SPECTRALVIPER-dirigida-a-empresas-publicas-vietnamitas.jpg\" "\\"Puerta")
<\/div>\n