NAPLISTENER
Πρόσφατα, η ομάδα απειλών γνωστή ως REF2924 στοχεύει διάφορες οντότητες στη Νότια και Νοτιοανατολική Ασία χρησιμοποιώντας έναν νέο τύπο κακόβουλου λογισμικού. Το κακόβουλο λογισμικό παρακολουθείται ως NAPLISTENER και είναι ένας τύπος ακροατής HTTP που δημιουργήθηκε χρησιμοποιώντας τη γλώσσα προγραμματισμού C#. Το NAPLISTENER δεν έχει εμφανιστεί στο παρελθόν, γεγονός που το καθιστά μια προηγουμένως άγνωστη απειλή κακόβουλου λογισμικού. Λεπτομέρειες σχετικά με αυτό κυκλοφόρησαν σε έκθεση των ερευνητών του infosec.
Το NAPLISTENER φαίνεται να έχει σχεδιαστεί ειδικά για να αποφεύγει τις «μορφές ανίχνευσης που βασίζονται σε δίκτυο». Αυτό σημαίνει ότι οι παραδοσιακές μέθοδοι ανίχνευσης που βασίζονται στην ανάλυση κίνησης δικτύου ενδέχεται να μην είναι αποτελεσματικές για τον εντοπισμό του NAPLISTENER. Είναι σημαντικό να σημειωθεί ότι ο REF2924 έχει ιστορικό χρήσης προηγμένων και εξελιγμένων τακτικών στις επιθέσεις του. Ως εκ τούτου, αυτή η νέα εξέλιξη θα πρέπει να χρησιμεύσει ως προειδοποίηση προς τους οργανισμούς στις στοχευμένες περιοχές να παραμείνουν σε επαγρύπνηση και να δώσουν προτεραιότητα στα μέτρα κυβερνοασφάλειας τους για να προστατευθούν από πιθανές επιθέσεις από το REF2924.
Η ομάδα χάκερ REF2924 επεκτείνει το απειλητικό οπλοστάσιο της
Το όνομα «REF2924» αναφέρεται σε μια ομάδα κυβερνοεπιτιθέμενων που έχουν εμπλακεί στη διεξαγωγή επιθέσεων εναντίον στόχου στο Αφγανιστάν καθώς και στο Γραφείο Εξωτερικών Υποθέσεων ενός μέλους της ASEAN το 2022. Αυτοί οι επιτιθέμενοι πιστεύεται ότι μοιράζονται παρόμοιες τακτικές και τεχνικές , και διαδικασίες με μια άλλη ομάδα hacking γνωστή ως «ChamelGang», η οποία εντοπίστηκε από την Positive Technologies, μια εταιρεία κυβερνοασφάλειας από τη Ρωσία, τον Οκτώβριο του 2021.
Η κύρια μέθοδος επίθεσης της ομάδας περιλαμβάνει την εκμετάλλευση διακομιστών Microsoft Exchange που είναι εκτεθειμένοι στο διαδίκτυο. Χρησιμοποιούν αυτήν την ευπάθεια για να εγκαταστήσουν backdoors όπως DOORME, SIESTAGRAPH και S hadowPad στα στοχευμένα συστήματα. Η χρήση του ShadowPad είναι ιδιαίτερα αξιοσημείωτη, καθώς υποδηλώνει μια πιθανή σύνδεση με κινεζικές ομάδες hacking που έχουν χρησιμοποιήσει στο παρελθόν αυτό το κακόβουλο λογισμικό σε διάφορες εκστρατείες στον κυβερνοχώρο.
Η NAPLISTENER θέτει ως νόμιμη υπηρεσία
Η ομάδα hacking REF2924 πρόσθεσε ένα νέο όπλο στο διαρκώς διευρυνόμενο οπλοστάσιο κακόβουλου λογισμικού της. Αυτό το νέο κακόβουλο λογισμικό, γνωστό ως NAPLISTENER και αναπτύχθηκε ως αρχείο με το όνομα "wmdtc.exe", έχει σχεδιαστεί για να μεταμφιέζεται ως νόμιμη υπηρεσία Συντονιστή Κατανεμημένων Συναλλαγών της Microsoft ("msdtc.exe"). Ο στόχος αυτής της μεταμφίεσης είναι να αποφύγει τον εντοπισμό και να αποκτήσει μακροπρόθεσμη πρόσβαση στο στοχευμένο σύστημα.
Το NAPLISTENER δημιουργεί ένα πρόγραμμα ακρόασης αιτημάτων HTTP που μπορεί να λαμβάνει εισερχόμενα αιτήματα από το Διαδίκτυο. Στη συνέχεια διαβάζει τυχόν υποβληθέντα δεδομένα, τα αποκωδικοποιεί από τη μορφή Base64 και τα εκτελεί στη μνήμη. Η ανάλυση του κώδικα του κακόβουλου λογισμικού υποδηλώνει ότι το REF2924 δανείστηκε ή επαναπροορίστηκε κώδικα από έργα ανοιχτού κώδικα που φιλοξενούνται στο GitHub. Αυτό υποδηλώνει ότι η ομάδα μπορεί να βελτιώνει ενεργά και να βελτιώνει τα όπλα στον κυβερνοχώρο, καθιστώντας ενδεχομένως ακόμη πιο δύσκολο για τους ερευνητές ασφαλείας να εντοπίσουν και να αμυνθούν από τις επιθέσεις τους.
