Empresas públicas vietnamitas têm sido alvo de uma campanha em andamento que utiliza uma nova porta dos fundos chamada SPECTRALVIPER.
"SPECTRALVIPER é uma porta dos fundos x64 altamente ofuscada e não divulgada anteriormente que traz recursos de carregamento e injeção de PE, upload e download de arquivos, manipulação de arquivos e diretórios e capacidades de impersonação de token", afirmou a Elastic Security Labs em um relatório na sexta-feira.
Os ataques foram atribuídos a um ator rastreado como REF2754, que se sobrepõe a um grupo de ameaças vietnamitas conhecido como APT32, Canvas Cyclone (anteriormente Bismuth), Cobalt Kitty e OceanLotus.
Em dezembro de 2020, a Meta vinculou as atividades da equipe de hackers a uma empresa de cibersegurança chamada CyberOne Group.
No último fluxo de infecção descoberto pela Elastic, a utilidade SysInternals ProcDump é alavancada para carregar um arquivo DLL não assinado que contém DONUTLOADER, que, por sua vez, é configurado para carregar SPECTRALVIPER e outros malwares, como P8LOADER ou POWERSEAL.
SPECTRALVIPER é projetado para entrar em contato com um servidor controlado pelo ator e aguarda mais comandos, adotando também métodos de ofuscação como achatamento de fluxo de controle para resistir à análise.
P8LOADER, escrito em C ++, é capaz de lançar payloads arbitrários de um arquivo ou da memória.
Também é usado um runner do PowerShell específico chamado POWERSEAL, equipado para executar scripts ou comandos do PowerShell fornecidos.
REF2754 é dito compartilhar similaridades táticas com outro grupo chamado REF4322, que é conhecido por mirar principalmente entidades vietnamitas para implantar um implante pós-exploração referido como PHOREAL (também conhecido como Rizzo).
As conexões levantaram a possibilidade de que "ambos os grupos de atividades REF4322 e REF2754 representem campanhas planejadas e executadas por uma ameaça afiliada ao estado vietnamita".
As descobertas ocorrem enquanto o conjunto de intrusão chamado REF2924 foi vinculado a mais uma peça de malware chamada SOMNIRECORD, que utiliza consultas DNS para se comunicar com um servidor remoto e contornar controles de segurança de rede.
SOMNIRECORD, como NAPLISTENER, utiliza projetos de código aberto existentes para aprimorar suas capacidades, permitindo que ele recupere informações sobre a máquina infectada, liste todos os processos em execução, implante um shell da web e inicie qualquer executável já presente no sistema.
"O uso de projetos de código aberto pelo atacante indica que eles estão tomando medidas para personalizar ferramentas existentes para suas necessidades específicas e podem estar tentando contrariar as tentativas de atribuição", afirmou a empresa.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...