Backdoor mới có tên SPECTRALVIPER nhằm mục tiêu tấn công vào các công ty lớn tại Việt Nam

Đây là một loại backdoor chưa được biết đến trước đây, với mã nguồn bị xáo trộn và được thiết kế để hoạt động trên hệ điều hành Windows x64. SPECTRALVIPER có khả năng tải và lây nhiễm các tệp thực thi (Portable Executable - PE), cho phép thực thi mã độc thông qua các chu trình hợp lệ, tải lên và tải xuống các tệp tin, thao túng tệp tin và thư mục, đồng thời mạo danh người dùng.

Các cuộc tấn công này được biết đến với tên gọi REF2754, có sự tương đồng với nhóm tấn công APT32 của Việt Nam (còn được gọi là Canvas Cyclone, Bismuth, Cobalt Kitty và OceanLotus).

Theo các nhà nghiên cứu, trong một đợt tấn công gần đây, tiện ích SysInternals ProcDump đã được khai thác để tải tệp DLL kiểu unsigned (không được ký số) có chứa DONUTLOADER, tệp này được cấu hình để tải SPECTRALVIPER và các mã độc khác như P8LOADER hoặc POWERSEAL.

Mã độc P8LOADER được viết bằng ngôn ngữ C++, có khả năng khởi chạy payload tùy ý từ một tệp hoặc từ bộ nhớ. Mã độc POWERSEAL được thiết kế để chạy các lệnh hoặc tệp lệnh PowerShell được cung cấp bởi kẻ tấn công.

Có thông tin cho rằng hình thức tấn công của nhóm APT REF2754 có nhiều điểm tương đồng so với nhóm tấn công APT REF4322, nhóm này được biết đến chủ yếu tấn công vào các tổ chức tại Việt Nam để triển khai một công cụ sau khai thác được gọi là PHOREAL (còn được gọi là Rizzo).

Các cá nhân và tổ chức cần cập nhật bản vá hệ điều hành Windows và bật chế độ tự động cập nhật. Đồng thời, triển khai các giải pháp giám sát an toàn thông tin mạng như cài đặt phần mềm diệt virus AV, cài đặt và cấu hình tường lửa trên thiết bị, tạo bản sao lưu cho các dữ liệu quan trọng, thực hiện kiểm tra và rà soát để phát hiện kịp thời dấu hiệu bất thường của các cuộc tấn công nhằm ứng cứu, xử lý kịp thời.

Bên cạnh đó, chiến dịch mã độc này là dấu hiệu cho sự quay trở lại của các đối tượng tấn công với động cơ tài chính. Để giảm thiểu nguy cơ bị tấn công mạng các cơ quan, tổ chức cần thường xuyên cập nhập bản vá, đồng thời tăng cường lớp bảo mật cho mạng nội bộ và kiểm tra trước khi truy cập vào bất kỳ trang web nào.

Cũng liên quan đến vụ việc này, trước đó, Bkav cũng đã phát đi khuyến cáo, cứ 10 máy tính Việt thì có 01 máy tồn tại lỗ hổng SMB và có nguy cơ bị nhiễm SPECTRALVIPER. Bkav khuyến cáo, người dùng cập nhật bản vá càng sớm càng tốt, bằng cách vào Windows Update → Check for updates để kiểm tra các bản vá mới nhất. Khẩn trương backup các dữ liệu quan trọng. Máy tính có cài Bkav Pro sẽ được tự động ngăn chặn những kịch bản khai thác tương tự.

Đối với các tổ chức, doanh nghiệp cần triển khai thêm giải pháp giám sát an ninh mạng như tường lửa, SOC (trung tâm giám sát an ninh mạng), lập tức phát hiện bất thường nhằm ứng cứu, xử lý kịp thời. Đồng thời, liên hệ các đơn vị chuyên về an ninh mạng để được hỗ trợ rà soát toàn bộ hệ thống gồm máy chủ, máy trạm và hệ thống cloud, nhằm bóc tách triệt để mã độc.