NAPLIŠTĚNKA

V poslední době se skupina hrozeb známá jako REF2924 zaměřuje na různé subjekty v jižní a jihovýchodní Asii pomocí nového typu malwaru. Malware je sledován jako NAPLISTENER a je to typ HTTP posluchače, který byl vytvořen pomocí programovacího jazyka C#. NAPLISTENER nebyl dosud viděn, což z něj dělá dříve neznámou malwarovou hrozbu. Podrobnosti o tom byly zveřejněny ve zprávě výzkumníků infosec.

Zdá se, že NAPLISTENER byl navržen speciálně tak, aby se vyhnul „síťovým formám detekce“. To znamená, že tradiční metody detekce, které se spoléhají na analýzu síťového provozu, nemusí být při detekci NAPLISTENER účinné. Je důležité poznamenat, že REF2924 má za sebou historii používání pokročilých a sofistikovaných taktik při svých útocích. Tento nový vývoj by proto měl sloužit jako varování pro organizace v cílových regionech, aby zůstaly ostražité a upřednostňovaly svá opatření kybernetické bezpečnosti, aby se ochránily před potenciálními útoky REF2924.

Hackerská skupina REF2924 rozšiřuje svůj arzenál hrozeb

Název „REF2924“ odkazuje na skupinu kybernetických útočníků, kteří se v roce 2022 podíleli na provádění útoků proti cíli v Afghánistánu a také na Úřadu zahraničních věcí člena ASEAN. Předpokládá se, že tito útočníci sdílejí podobné taktiky a techniky. a postupy s další hackerskou skupinou známou jako „ChamelGang“, kterou v říjnu 2021 identifikovala ruská společnost zabývající se kybernetickou bezpečností Positive Technologies.

Primární metoda útoku skupiny zahrnuje zneužití serverů Microsoft Exchange, které jsou vystaveny internetu. Tuto chybu zabezpečení využívají k instalaci zadních vrátek, jako jsou DOORME, SIESTAGRAPH a S hadowPad na cílové systémy. Zvláště pozoruhodné je použití ShadowPad, protože naznačuje možné spojení s čínskými hackerskými skupinami, které dříve tento malware používaly v různých kybernetických kampaních.

NAPLISTENER se představuje jako legitimní služba

Hackerská skupina REF2924 přidala do svého stále se rozšiřujícího arzenálu malwaru novou zbraň. Tento nový malware, známý jako NAPLISTENER a nasazený jako soubor s názvem „wmdtc.exe“, je navržen tak, aby se maskoval jako legitimní služba koordinátora distribuovaných transakcí společnosti Microsoft („msdtc.exe“). Cílem tohoto přestrojení je vyhnout se detekci a získat dlouhodobý přístup k cílenému systému.

NAPLISTENER vytvoří posluchač požadavků HTTP, který může přijímat příchozí požadavky z internetu. Poté načte všechna odeslaná data, dekóduje je z formátu Base64 a provede je v paměti. Analýza kódu malwaru naznačuje, že REF2924 si vypůjčil nebo znovu použil kód z open source projektů hostovaných na GitHubu. To naznačuje, že skupina může aktivně vylepšovat a vylepšovat své kybernetické zbraně, což potenciálně ještě více ztíží bezpečnostním výzkumníkům detekci a obranu proti jejich útokům.