NAPLISTENER

في الآونة الأخيرة ، استهدفت مجموعة التهديد المعروفة باسم REF2924 كيانات مختلفة في جنوب وجنوب شرق آسيا باستخدام نوع جديد من البرامج الضارة. يتم تتبع البرنامج الضار على أنه NAPLISTENER وهو نوع من مستمع HTTP تم إنشاؤه باستخدام لغة البرمجة C #. لم يتم رؤية NAPLISTENER من قبل ، مما يجعله تهديدًا للبرامج الضارة غير معروف سابقًا. تم نشر تفاصيل حول ذلك في تقرير من قبل الباحثين في إنفوسيك.

يبدو أن NAPLISTENER قد تم تصميمه خصيصًا للتهرب من "أشكال الاكتشاف المستندة إلى الشبكة". هذا يعني أن طرق الكشف التقليدية التي تعتمد على تحليل حركة مرور الشبكة قد لا تكون فعالة في اكتشاف NAPLISTENER. من المهم ملاحظة أن REF2924 لها تاريخ في استخدام التكتيكات المتقدمة والمعقدة في هجماتها. لذلك ، يجب أن يكون هذا التطور الجديد بمثابة تحذير للمنظمات في المناطق المستهدفة للبقاء يقظين وإعطاء الأولوية لتدابير الأمن السيبراني لحماية أنفسهم من الهجمات المحتملة بواسطة REF2924.

توسع مجموعة REF2924 Hacker ترسانتها المهددة

يشير الاسم "REF2924" إلى مجموعة من المهاجمين السيبرانيين الذين شاركوا في تنفيذ هجمات ضد هدف في أفغانستان بالإضافة إلى مكتب الشؤون الخارجية لعضو في رابطة دول جنوب شرق آسيا في عام 2022. ويعتقد أن هؤلاء المهاجمين يشاركون نفس التكتيكات والتقنيات ، والإجراءات مع مجموعة قرصنة أخرى تُعرف باسم `` ChamelGang '' ، والتي تم تحديدها بواسطة شركة Positive Technologies ، وهي شركة للأمن السيبراني من روسيا ، في أكتوبر 2021.

تتضمن الطريقة الأساسية للهجوم لدى المجموعة استغلال خوادم Microsoft Exchange المعرضة للإنترنت. يستخدمون هذه الثغرة الأمنية لتثبيت الأبواب الخلفية مثل DOORME و SIESTAGRAPH و S hadowPad على الأنظمة المستهدفة. يعد استخدام ShadowPad ملحوظًا بشكل خاص ، حيث يشير إلى وجود اتصال محتمل بمجموعات القرصنة الصينية التي استخدمت سابقًا هذه البرامج الضارة في حملات إلكترونية مختلفة.

NAPLISTENER يطرح نفسه كخدمة مشروعة

أضافت مجموعة القرصنة REF2924 سلاحًا جديدًا إلى ترسانتها المتزايدة من البرامج الضارة. تم تصميم هذا البرنامج الضار الجديد ، المعروف باسم NAPLISTENER والذي تم نشره كملف باسم "wmdtc.exe" ، لإخفاء نفسه كخدمة شرعية لمنسق المعاملات الموزعة من Microsoft ('msdtc.exe'). الهدف من هذا التنكر هو التهرب من الاكتشاف والحصول على وصول طويل المدى إلى النظام المستهدف.

يقوم NAPLISTENER بإنشاء مستمع طلبات HTTP يمكنه تلقي الطلبات الواردة من الإنترنت. ثم يقرأ أي بيانات مقدمة ويفك تشفيرها من تنسيق Base64 وينفذها في الذاكرة. يشير تحليل كود البرنامج الضار إلى أن REF2924 استعار أو أعيد توجيه تعليماته البرمجية من مشاريع مفتوحة المصدر مستضافة على GitHub. يشير هذا إلى أن المجموعة ربما تعمل بنشاط على تحسين أسلحتها الإلكترونية وتحسينها ، مما قد يجعل الأمر أكثر صعوبة على الباحثين في مجال الأمن لاكتشاف هجماتهم والدفاع عنها.