🌟 Atualização imperdível para quem gosta de estar bem informado!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaça alinhado ao Vietnã conhecido como OceanLotus foi atribuído a duas campanhas distintas que visavam entidades nacionais e investidores em ações com um backdoor conhecido como SPECTRALVIPER.
As campanhas envolvem uma operação prolongada de ciberespionagem dirigida a uma empresa vietnamita de construção de infraestruturas e transportes entre meados de 2024 e fevereiro de 2026, bem como um ataque à cadeia de abastecimento aproveitando o FireAnt Metakit, uma popular plataforma de software utilizada por investidores em ações no Vietname. O segundo cluster de atividades ocorreu de outubro de 2025 a março de 2026.
Os dois conjuntos de ataques representam uma mudança no foco operacional, de acordo com a ESET, com o ator da ameaça colocando uma ênfase crescente na espionagem doméstica em vez de em alvos externos. O grupo, ativo desde 2012, também tem um histórico de visar a China.
“Se a mudança representa um ajuste temporário ou uma mudança estratégica de longo prazo, ainda não está claro; no entanto, este grupo APT de 15 anos continua a demonstrar táticas agressivas e um nível de astúcia em suas ferramentas”, disse a empresa eslovaca de segurança cibernética em um relatório compartilhado com The Hacker News.
Ataques anteriores orquestrados pelo colectivo adversário aproveitaram a criação de perfis digitais dos visitantes do site, com um foco específico em centenas de indivíduos e organizações ligadas aos meios de comunicação social, aos direitos humanos e às causas da sociedade civil em 2017 e 2018. Outras campanhas destacaram os defensores dos direitos humanos e os dissidentes vietnamitas.
Em dezembro de 2020, a Meta vinculou as atividades da OceanLotus a uma empresa de TI vietnamita chamada CyberOne Group, também conhecida como CyberOne Security, CyberOne Technologies e Hành Tinh Company Limited. Embora a empresa negue as acusações, a exposição pública fez com que o grupo ficasse fora da rede por quase três anos.
Algumas das principais ferramentas em seu arsenal incluem SOUNDBITE (também conhecido como Denis), PHOREAL (também conhecido como Rizzo), WINDSHIELD (também conhecido como Remy) e, mais recentemente, SPECTRALVIPER, que foi documentado pela primeira vez pelo Elastic Security Labs em junho de 2023, quando o ator da ameaça ressurgiu em conexão com uma campanha visando empresas públicas vietnamitas.
Ainda no mês passado, a Kaspersky disse ter descoberto três pacotes maliciosos no repositório Python Package Index (PyPI) projetados para entregar uma família de malware até então desconhecida chamada ZiChatBot em sistemas Windows e Linux. A empresa russa de segurança cibernética observou que o conta-gotas usado para entregar o malware compartilha uma “semelhança de 64%” com outro conta-gotas usado pela OceanLotus.
O ataque à cadeia de suprimentos do FireAnt Metakit
As últimas descobertas da ESET mostram que o ataque à cadeia de suprimentos FireAnt Metakit provavelmente começou por volta de 2 de outubro de 2025 e durou até março de 2026. Diz-se que o ataque aproveitou o URL de atualização legítimo do software para servir o SPECTRALVIPER a um pequeno subconjunto de investidores em ações, indicando uma abordagem mais seletiva.
Apesar do uso do servidor de atualização FireAnt para distribuir diretamente cargas maliciosas, o arquivo de configuração de atualização localizado em "metakit.fireant[.]vn/Software/version.xml" não possui um mecanismo de validação de integridade para garantir que o binário de atualização ("setup.exe") não foi adulterado.
“Devido à ausência de validação de assinatura, o Metakit.exe executou o downloader malicioso como uma atualização legítima”, disse a ESET. "Depois de iniciado, o downloader realizou o reconhecimento básico do host e transmitiu as informações coletadas por meio de uma solicitação HTTP POST para um servidor de teste, solicitando a carga útil do próximo estágio."
A carga útil é uma cadeia de carregamento lateral de DLL que emprega um binário legítimo para iniciar uma DLL não autorizada ("DtlCrashCatch.dll"), que então se injeta no processo OneDrive.Sync.Service.exe para acionar a execução do SPECTRALVIPER. Posteriormente, o backdoor entra em contato com um servidor de comando e controle (C2) ("financemachinelearning[.]com") para enviar informações criptografadas do host.
A ESET disse que não observou nenhuma outra atualização maliciosa sendo distribuída através do canal comprometido desde 9 de março de 2026, levantando a possibilidade de que os atores da ameaça tenham concluído sua campanha.
Corporação vietnamita de construção de transportes visada
OceanLotus também foi encontrado visando uma empresa vietnamita não identificada de construção de infraestrutura e transporte desde novembro de 2024, mantendo secretamente o acesso à entidade até fevereiro de 2026. Embora o caminho de acesso inicial exato usado pelo ator da ameaça não seja claro, suspeita-se que tenha envolvido a exploração de vulnerabilidades de execução remota de código em um servidor Microsoft SQL voltado ao público.
Os ataques, como antes, abrem caminho para a implantação do backdoor SPECTRALVIPER usando carregamento lateral de DLL. Três variantes diferentes foram identificadas em vários hosts comprometidos na mesma rede. O malware entra em contato com o servidor C2 ("gatewayrvcenter[.]com") para transmitir o perfil do host
As campanhas envolvem uma operação prolongada de ciberespionagem dirigida a uma empresa vietnamita de construção de infraestruturas e transportes entre meados de 2024 e fevereiro de 2026, bem como um ataque à cadeia de abastecimento aproveitando o FireAnt Metakit, uma popular plataforma de software utilizada por investidores em ações no Vietname. O segundo cluster de atividades ocorreu de outubro de 2025 a março de 2026.
Os dois conjuntos de ataques representam uma mudança no foco operacional, de acordo com a ESET, com o ator da ameaça colocando uma ênfase crescente na espionagem doméstica em vez de em alvos externos. O grupo, ativo desde 2012, também tem um histórico de visar a China.
“Se a mudança representa um ajuste temporário ou uma mudança estratégica de longo prazo, ainda não está claro; no entanto, este grupo APT de 15 anos continua a demonstrar táticas agressivas e um nível de astúcia em suas ferramentas”, disse a empresa eslovaca de segurança cibernética em um relatório compartilhado com The Hacker News.
Ataques anteriores orquestrados pelo colectivo adversário aproveitaram a criação de perfis digitais dos visitantes do site, com um foco específico em centenas de indivíduos e organizações ligadas aos meios de comunicação social, aos direitos humanos e às causas da sociedade civil em 2017 e 2018. Outras campanhas destacaram os defensores dos direitos humanos e os dissidentes vietnamitas.
Em dezembro de 2020, a Meta vinculou as atividades da OceanLotus a uma empresa de TI vietnamita chamada CyberOne Group, também conhecida como CyberOne Security, CyberOne Technologies e Hành Tinh Company Limited. Embora a empresa negue as acusações, a exposição pública fez com que o grupo ficasse fora da rede por quase três anos.
Algumas das principais ferramentas em seu arsenal incluem SOUNDBITE (também conhecido como Denis), PHOREAL (também conhecido como Rizzo), WINDSHIELD (também conhecido como Remy) e, mais recentemente, SPECTRALVIPER, que foi documentado pela primeira vez pelo Elastic Security Labs em junho de 2023, quando o ator da ameaça ressurgiu em conexão com uma campanha visando empresas públicas vietnamitas.
Ainda no mês passado, a Kaspersky disse ter descoberto três pacotes maliciosos no repositório Python Package Index (PyPI) projetados para entregar uma família de malware até então desconhecida chamada ZiChatBot em sistemas Windows e Linux. A empresa russa de segurança cibernética observou que o conta-gotas usado para entregar o malware compartilha uma “semelhança de 64%” com outro conta-gotas usado pela OceanLotus.
O ataque à cadeia de suprimentos do FireAnt Metakit
As últimas descobertas da ESET mostram que o ataque à cadeia de suprimentos FireAnt Metakit provavelmente começou por volta de 2 de outubro de 2025 e durou até março de 2026. Diz-se que o ataque aproveitou o URL de atualização legítimo do software para servir o SPECTRALVIPER a um pequeno subconjunto de investidores em ações, indicando uma abordagem mais seletiva.
Apesar do uso do servidor de atualização FireAnt para distribuir diretamente cargas maliciosas, o arquivo de configuração de atualização localizado em "metakit.fireant[.]vn/Software/version.xml" não possui um mecanismo de validação de integridade para garantir que o binário de atualização ("setup.exe") não foi adulterado.
“Devido à ausência de validação de assinatura, o Metakit.exe executou o downloader malicioso como uma atualização legítima”, disse a ESET. "Depois de iniciado, o downloader realizou o reconhecimento básico do host e transmitiu as informações coletadas por meio de uma solicitação HTTP POST para um servidor de teste, solicitando a carga útil do próximo estágio."
A carga útil é uma cadeia de carregamento lateral de DLL que emprega um binário legítimo para iniciar uma DLL não autorizada ("DtlCrashCatch.dll"), que então se injeta no processo OneDrive.Sync.Service.exe para acionar a execução do SPECTRALVIPER. Posteriormente, o backdoor entra em contato com um servidor de comando e controle (C2) ("financemachinelearning[.]com") para enviar informações criptografadas do host.
A ESET disse que não observou nenhuma outra atualização maliciosa sendo distribuída através do canal comprometido desde 9 de março de 2026, levantando a possibilidade de que os atores da ameaça tenham concluído sua campanha.
Corporação vietnamita de construção de transportes visada
OceanLotus também foi encontrado visando uma empresa vietnamita não identificada de construção de infraestrutura e transporte desde novembro de 2024, mantendo secretamente o acesso à entidade até fevereiro de 2026. Embora o caminho de acesso inicial exato usado pelo ator da ameaça não seja claro, suspeita-se que tenha envolvido a exploração de vulnerabilidades de execução remota de código em um servidor Microsoft SQL voltado ao público.
Os ataques, como antes, abrem caminho para a implantação do backdoor SPECTRALVIPER usando carregamento lateral de DLL. Três variantes diferentes foram identificadas em vários hosts comprometidos na mesma rede. O malware entra em contato com o servidor C2 ("gatewayrvcenter[.]com") para transmitir o perfil do host
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #oceanlotus #atinge #investidores #do #vietnã #com #spectralviper #em #ataque #fireant
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário