Sommario
Le aziende pubbliche vietnamite sono state prese di mira in una campagna in corso che implementa un nuovo backdoor chiamato SPECTRALVIPER. “SPECTRALVIPER è un backdoor x64 fortemente offuscato, precedentemente non divulgato, che porta il caricamento e l’iniezione di PE, il caricamento e il download di file, la manipolazione di file e directory, e le capacità di impersonazione di token”, ha dichiarato Elastic Security Labs in un rapporto di venerdì.
Chi è dietro gli attacchi?
Nel più recente flusso di infezione scoperto da Elastic, l’utilità SysInternals ProcDump viene utilizzata per caricare un file DLL non firmato che contiene DONUTLOADER, che a sua volta è configurato per caricare SPECTRALVIPER e altri malware come P8LOADER o POWERSEAL. SPECTRALVIPER è progettato per contattare un server controllato dall’attore e attende ulteriori comandi, adottando anche metodi di offuscamento come il controllo del flusso di appiattimento per resistere all’analisi.
Gli attacchi sono stati attribuiti a un attore tracciato come REF2754, che sovrappone un gruppo di minacce vietnamite noto come APT32, Canvas Cyclone (precedentemente Bismuth), Cobalt Kitty e OceanLotus. Meta, nel dicembre 2020, ha collegato le attività del gruppo di hacker a una società di cybersecurity chiamata CyberOne Group.
Come funziona SPECTRALVIPER?
Collegamenti con altri gruppi di attività
REF2754 condivide delle comuni tattiche con un altro gruppo denominato REF4322, noto per mirare principalmente alle entità vietnamite per implementare un impianto post-sfruttamento denominato PHOREAL (aka Rizzo). Questi collegamenti hanno sollevato la possibilità che “sia i gruppi di attività REF4322 che REF2754 rappresentino campagne pianificate ed eseguite da una minaccia affiliata allo stato vietnamita”.
