NAPLISTENER

Recentment, el grup d'amenaces conegut com a REF2924 s'ha dirigit a diverses entitats del sud i el sud-est asiàtic mitjançant un nou tipus de programari maliciós. El programari maliciós es fa un seguiment com a NAPLISTENER i és un tipus d'escolta HTTP que es va crear amb el llenguatge de programació C#. NAPLISTENER no s'ha vist abans, cosa que la converteix en una amenaça de programari maliciós desconeguda. Els detalls al respecte es van publicar en un informe dels investigadors de l'infosec.

NAPLISTENER sembla haver estat dissenyat específicament per evadir "formes de detecció basades en xarxa". Això significa que els mètodes de detecció tradicionals que es basen en l'anàlisi del trànsit de xarxa poden no ser efectius per detectar NAPLISTENER. És important tenir en compte que REF2924 té un historial d'ús de tàctiques avançades i sofisticades en els seus atacs. Per tant, aquest nou desenvolupament hauria de servir com a advertència a les organitzacions de les regions objectiu perquè es mantinguin vigilants i prioritzin les seves mesures de ciberseguretat per protegir-se dels possibles atacs de REF2924.

El grup de pirates informàtics REF2924 amplia el seu arsenal amenaçador

El nom "REF2924" fa referència a un grup de ciberatacants que han participat en la realització d'atacs contra un objectiu a l'Afganistan, així com a l'Oficina d'Afers Exteriors d'un membre de l'ASEAN l'any 2022. Es creu que aquests atacants comparteixen tàctiques i tècniques similars. , i procediments amb un altre grup de pirateria informàtica conegut com "ChamelGang", que va ser identificat per Positive Technologies, una empresa de ciberseguretat de Rússia, l'octubre de 2021.

El mètode principal d'atac del grup consisteix en l'explotació dels servidors de Microsoft Exchange que estan exposats a Internet. Utilitzen aquesta vulnerabilitat per instal·lar portes posteriors com DOORME, SIESTAGRAPH i S hadowPad als sistemes de destinació. L'ús de ShadowPad és especialment notable, ja que suggereix una possible connexió amb grups de pirateria xinesa que han utilitzat anteriorment aquest programari maliciós en diverses campanyes cibernètiques.

NAPLISTENER es presenta com a Servei legítim

El grup de pirateria REF2924 ha afegit una nova arma al seu arsenal de programari maliciós en constant expansió. Aquest nou programari maliciós, conegut com NAPLISTENER i desplegat com a fitxer anomenat "wmdtc.exe", està dissenyat per disfressar-se com a servei legítim de Microsoft Distributed Transaction Coordinator ("msdtc.exe"). L'objectiu d'aquesta disfressa és eludir la detecció i obtenir accés a llarg termini al sistema objectiu.

NAPLISTENER crea un oient de sol·licituds HTTP que pot rebre sol·licituds entrants d'Internet. A continuació, llegeix totes les dades enviades, les descodifica des del format Base64 i les executa a la memòria. L'anàlisi del codi del programari maliciós suggereix que REF2924 va agafar en préstec o va reutilitzar el codi de projectes de codi obert allotjats a GitHub. Això indica que el grup pot estar perfeccionant i millorant activament les seves armes cibernètiques, cosa que podria dificultar encara més als investigadors de seguretat detectar i defensar-se dels seus atacs.