НАПЛИСНАТЕЛ

Наскоро групата за заплахи, известна като REF2924, се насочва към различни обекти в Южна и Югоизточна Азия, използвайки нов тип зловреден софтуер. Зловреден софтуер се проследява като NAPLISTENER и е вид HTTP слушател, който е създаден с помощта на езика за програмиране C#. NAPLISTENER не е виждан досега, което го прави неизвестна досега заплаха за зловреден софтуер. Подробности за това бяха публикувани в доклад на изследователите на infosec.

NAPLISTENER изглежда е проектиран специално за избягване на „мрежови базирани форми на откриване“. Това означава, че традиционните методи за откриване, които разчитат на анализ на мрежовия трафик, може да не са ефективни при откриването на NAPLISTENER. Важно е да се отбележи, че REF2924 има история на използване на напреднали и сложни тактики в своите атаки. Следователно това ново развитие трябва да служи като предупреждение към организациите в целевите региони да останат бдителни и да дадат приоритет на своите мерки за киберсигурност, за да се защитят от потенциални атаки от REF2924.

Хакерската група REF2924 разширява своя заплашителен арсенал

Името „REF2924“ се отнася до група кибератаки, които са участвали в извършването на атаки срещу цел в Афганистан, както и Службата за външни работи на член на АСЕАН през 2022 г. Смята се, че тези нападатели споделят подобни тактики, техники , и процедури с друга хакерска група, известна като „ChamelGang“, която беше идентифицирана от Positive Technologies, компания за киберсигурност от Русия, през октомври 2021 г.

Основният метод на атака на групата включва използване на Microsoft Exchange сървъри, които са изложени на интернет. Те използват тази уязвимост, за да инсталират задни врати като DOORME, SIESTAGRAPH и S hadowPad на целевите системи. Използването на ShadowPad е особено забележително, тъй като предполага възможна връзка с китайски хакерски групи, които преди това са използвали този зловреден софтуер в различни кибер кампании.

NAPLISTENER се представя за легитимна услуга

Хакерската група REF2924 добави ново оръжие към непрекъснато разширяващия се арсенал от зловреден софтуер. Този нов злонамерен софтуер, известен като NAPLISTENER и внедрен като файл с име „wmdtc.exe“, е предназначен да се маскира като легитимна услуга на Microsoft Distributed Transaction Coordinator („msdtc.exe“). Целта на тази маскировка е да се избегне откриването и да се получи дългосрочен достъп до целевата система.

NAPLISTENER създава слушател на HTTP заявки, който може да получава входящи заявки от интернет. След това чете всички изпратени данни, декодира ги от формат Base64 и ги изпълнява в паметта. Анализът на кода на злонамерения софтуер предполага, че REF2924 е заел или преназначил код от проекти с отворен код, хоствани в GitHub. Това показва, че групата може активно да усъвършенства и подобрява своите кибер оръжия, потенциално затруднявайки още повече изследователите по сигурността да откриват и защитават срещу техните атаки.