Огонь по своим: вьетнамские хакеры наносят сокрушительный удар по местным компаниям с помощью бэкдора SPECTRALVIPER

Эксперты по кибербезопасности из Elastic Security Labs обнаружили новую вредоносную кампанию, направленную против публичных организаций во Вьетнаме. Злоумышленники используют неизвестный ранее бэкдор SPECTRALVIPER, который обладает широким спектром возможностей для управления зараженными системами.

По данным исследователей, SPECTRALVIPER — это новый сильно обфусцированный 64-битный бэкдор, который обеспечивает загрузку и инъекцию PE-файлов, обмен и манипуляцию файлами и директориями, а также имитацию токенов.

Атаки приписываются актору под кодовым названием REF2754, который пересекается с вьетнамской хакерской группой APT32, также известной как Canvas Cyclone (ранее Bismuth), Cobalt Kitty и OceanLotus. А в декабре 2020 года компания Facebook * даже связала деятельность этой группы с легитимной вьетнамской IT-компанией CyberOne Group.

В последнем сценарии заражения, обнаруженном исследователями Elastic Security Labs, злоумышленники использовали утилиту SysInternals ProcDump для загрузки неподписанного DLL-файла, содержащего DONUTLOADER. Этот загрузчик настроен на запуск SPECTRALVIPER и других вредоносных программ, таких как P8LOADER или POWERSEAL.

SPECTRALVIPER предназначен для связи с C2-сервером злоумышленников и ожидания дальнейших команд. При этом он применяет методы обфускации, такие как сглаживание потока управления, чтобы противостоять анализу.

P8LOADER, написанный на C++, способен запускать произвольные полезные нагрузки из файла или прямо из памяти. Также используется специальный лаунчер PowerShell под названием POWERSEAL, который оборудован для выполнения предоставленных скриптов или команд PowerShell.

Эксперты отмечают, что REF2754 имеет тактические сходства с другой группой под кодовым названием REF4322, которая в основном нацелена на вьетнамские объекты для развертывания пост-эксплуатационного имплантата под названием PHOREAL (aka Rizzo).

Это повышает вероятность того, что обе группы REF4322 и REF2754 представляют собой операции, спланированные и осуществляемые с поддержкой вьетнамского государства.

Кроме того, группа под кодовым названием REF2924 была связана с ещё одной вредоносной программой под названием SOMNIRECORD, которая использует DNS-запросы для связи с удалённым сервером и обхода сетевых защитных механизмов.

SOMNIRECORD, как и NAPLISTENER, использует существующие проекты с открытым исходным кодом, чтобы усовершенствовать свои возможности, позволяя вредоносу получать обширную информацию о зараженной машине, перечислять все запущенные процессы, развёртывать веб-оболочку и запускать любой исполняемый файл, уже присутствующий в системе.

«Использование проектов с открытым исходным кодом злоумышленниками указывает на то, что они предпринимают шаги для настройки существующих инструментов для своих конкретных потребностей, а также для попыток противодействовать потенциальному обнаружению и анализу вредоноса», — говорится в отчёте Elastic.

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.