NAPLISTER

For nylig har trusselsgruppen kendt som REF2924 været rettet mod forskellige enheder i Syd- og Sydøstasien ved hjælp af en ny type malware. Malwaren spores som NAPLISTENER og er en type HTTP-lytter, der blev oprettet ved hjælp af programmeringssproget C#. NAPLISTENER er ikke set før, hvilket gør det til en tidligere ukendt malwaretrussel. Detaljer om det blev frigivet i en rapport fra infosec-forskerne.

NAPLISTENER ser ud til at være designet specifikt til at undgå 'netværksbaserede former for detektion'. Dette betyder, at traditionelle detektionsmetoder, der er afhængige af netværkstrafikanalyse, muligvis ikke er effektive til at detektere NAPLISTENER. Det er vigtigt at bemærke, at REF2924 har en historie med at bruge avancerede og sofistikerede taktikker i deres angreb. Derfor bør denne nye udvikling tjene som en advarsel til organisationer i de målrettede regioner om at forblive på vagt og prioritere deres cybersikkerhedsforanstaltninger for at beskytte sig mod potentielle angreb fra REF2924.

REF2924 Hacker Group udvider sit truende arsenal

Navnet 'REF2924' refererer til en gruppe cyberangribere, der har været involveret i at udføre angreb mod et mål i Afghanistan samt et ASEAN-medlems udenrigskontor tilbage i 2022. Disse angribere menes at dele lignende taktikker, teknikker , og procedurer med en anden hackergruppe kendt som 'ChamelGang', som blev identificeret af Positive Technologies, et cybersikkerhedsfirma fra Rusland, i oktober 2021.

Gruppens primære angrebsmetode involverer udnyttelse af Microsoft Exchange-servere, der er udsat for internettet. De bruger denne sårbarhed til at installere bagdøre såsom DOORME, SIESTAGRAPH og S hadowPad på de målrettede systemer. Brugen af ShadowPad er særligt bemærkelsesværdig, da den antyder en mulig forbindelse til kinesiske hackergrupper, der tidligere har brugt denne malware i forskellige cyberkampagner.

NAPLISTENER poserer som en legitim tjeneste

REF2924 hackergruppen har tilføjet et nyt våben til deres stadigt voksende arsenal af malware. Denne nye malware, kendt som NAPLISTENER og implementeret som en fil med navnet 'wmdtc.exe', er designet til at forklæde sig selv som en legitim Microsoft Distributed Transaction Coordinator-tjeneste ('msdtc.exe'). Formålet med denne forklædning er at undgå opdagelse og få langsigtet adgang til det målrettede system.

NAPLISTENER opretter en HTTP-anmodningslytter, der kan modtage indgående anmodninger fra internettet. Den læser derefter alle indsendte data, afkoder dem fra Base64-formatet og udfører dem i hukommelsen. Analyse af malwarens kode tyder på, at REF2924 lånte eller genbrugte kode fra open source-projekter hostet på GitHub. Dette indikerer, at gruppen muligvis aktivt raffinerer og forbedrer sine cybervåben, hvilket potentielt gør det endnu sværere for sikkerhedsforskere at opdage og forsvare sig mod deres angreb.