Vietnam kamu şirketleri, adı verilen yeni bir arka kapı açan devam eden bir kampanyanın parçası olarak hedef alındı. SPEKTRALİPER.
Elastic Security Labs, “SPECTRALVIPER, PE yükleme ve enjeksiyon, dosya yükleme ve indirme, dosya ve dizin manipülasyonu ve belirteç kimliğine bürünme yetenekleri getiren, oldukça karmaşık, daha önce ifşa edilmemiş bir x64 arka kapısıdır.” söz konusu Cuma raporunda.
Saldırılar, APT32, Canvas Cyclone (eski adıyla Bismuth), Cobalt Kitty ve OceanLotus olarak bilinen Vietnamlı bir tehdit grubuyla örtüşen REF2754 olarak izlediği bir aktöre atfedildi.
Meta, Aralık 2020’de bilgisayar korsanlığı ekibinin faaliyetlerini CyberOne Group adlı bir siber güvenlik şirketine bağladı.
Elastic tarafından ortaya çıkarılan en son enfeksiyon akışında, SysInternals ProcDump yardımcı programı, SPECTRALVIPER ve P8LOADER veya POWERSEAL gibi diğer kötü amaçlı yazılımları yüklemek üzere yapılandırılmış DONUTLOADER içeren imzasız bir DLL dosyasını yüklemek için kullanılır.
SPECTRALVIPER, oyuncu tarafından kontrol edilen bir sunucuyla iletişim kurmak için tasarlanmıştır ve aşağıdakiler gibi şaşırtma yöntemlerini benimserken başka komutları da bekler: kontrol akışı düzleştirme Analize direnmek için.
C++ ile yazılmış P8LOADER, bir dosyadan veya bellekten isteğe bağlı yükleri başlatma yeteneğine sahiptir. Ayrıca, sağlanan PowerShell betiklerini veya komutlarını çalıştırmak için donatılmış POWERSEAL adlı, amaca yönelik oluşturulmuş bir PowerShell çalıştırıcısı da kullanılır.
REF2754 adlı başka bir grupla taktiksel ortaklıkları paylaştığı söyleniyor. REF4322olarak anılan bir sömürü sonrası implant yerleştirmek için öncelikle Vietnam kuruluşlarını hedef aldığı bilinmektedir. FOREAL (namı diğer Rizzo).
Bağlantılar, “hem REF4322 hem de REF2754 etkinlik gruplarının, Vietnam devletine bağlı bir tehdit tarafından planlanan ve yürütülen kampanyaları temsil ettiği” olasılığını artırdı.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Bulgular, REF2924 adlı saldırı setinin, adı verilen başka bir kötü amaçlı yazılım parçasına bağlanmasıyla geldi. SOMNIRECORD uzak bir sunucuyla iletişim kurmak ve ağ güvenlik kontrollerini atlamak için DNS sorgularını kullanan.
NAPLISTENER gibi SOMNIRECORD, yeteneklerini geliştirmek için mevcut açık kaynak projelerinden yararlanarak, virüslü makine hakkında bilgi almasını, çalışan tüm işlemleri listelemesini, bir web kabuğunu dağıtmasını ve sistemde halihazırda bulunan herhangi bir yürütülebilir dosyayı başlatmasını sağlar.
Şirket, “Saldırganın açık kaynak projelerini kullanması, mevcut araçları kendi özel ihtiyaçlarına göre özelleştirmek için adımlar attığını ve ilişkilendirme girişimlerine karşı koymaya çalışıyor olabileceğini gösteriyor” dedi.
