NAPLISTENER
Hiljuti on ohurühm nimega REF2924 sihikule võtnud Lõuna- ja Kagu-Aasia erinevaid üksusi, kasutades uut tüüpi pahavara. Pahavara jälgitakse kui NAPLISTENER ja see on teatud tüüpi HTTP-kuulaja, mis loodi programmeerimiskeele C# abil. NAPLISTENERit pole varem nähtud, mistõttu on see senitundmatu pahavaraoht. Üksikasjad selle kohta avaldati infoseci teadlaste aruandes.
NAPLISTENER näib olevat loodud spetsiaalselt vältimaks "võrgupõhistest tuvastamisvormidest". See tähendab, et traditsioonilised tuvastusmeetodid, mis põhinevad võrguliikluse analüüsil, ei pruugi olla NAPLISTENERi tuvastamisel tõhusad. Oluline on märkida, et REF2924 on kasutanud oma rünnakutes täiustatud ja keerukaid taktikaid. Seetõttu peaks see uus areng olema hoiatusena sihtpiirkondade organisatsioonidele, et nad oleksid valvsad ja seaksid oma küberjulgeolekumeetmed prioriteediks, et kaitsta end REF2924 võimalike rünnakute eest.
REF2924 häkkerite rühmitus laiendab oma ohuarsenali
Nimi "REF2924" viitab rühmale küberründajaid, kes on 2022. aastal osalenud rünnakutes Afganistanis sihtmärgi vastu, samuti ASEANi liikme välisbüroole. Arvatakse, et neil ründajatel on sarnane taktika ja tehnika. , ja protseduurid teise häkkimisgrupiga, mida tuntakse ChamelGangi nime all ja mille tuvastas Venemaa küberturvalisuse ettevõte Positive Technologies 2021. aasta oktoobris.
Grupi peamine ründeviis hõlmab Internetiga avatud Microsoft Exchange'i serverite ärakasutamist. Nad kasutavad seda haavatavust, et installida sihitud süsteemidesse tagauksed, nagu DOORME, SIESTAGRAPH ja S hadowPad . Eriti tähelepanuväärne on ShadowPadi kasutamine, mis viitab võimalikule ühendusele Hiina häkkimisgruppidega, kes on seda pahavara varem erinevates küberkampaaniates kasutanud.
NAPLISTENER kujutab endast seaduslikku teenust
REF2924 häkkimisrühm on lisanud oma üha laienevasse pahavara arsenali uue relva. See uus pahavara, mida tuntakse nime all NAPLISTENER ja mis on juurutatud faili nimega 'wmdtc.exe', on loodud selleks, et maskeerida end legitiimse Microsofti hajutatud tehingute koordinaatori teenusena ('msdtc.exe'). Selle maskeeringu eesmärk on vältida avastamist ja saada sihitud süsteemile pikaajaline juurdepääs.
NAPLISTENER loob HTTP päringu kuulaja, mis saab vastu võtta Internetist sissetulevaid päringuid. Seejärel loeb see kõik esitatud andmed, dekodeerib need Base64-vormingust ja käivitab need mällu. Pahavara koodi analüüs viitab sellele, et REF2924 laenas või kasutas uuesti koodi GitHubis hostitud avatud lähtekoodiga projektidest. See viitab sellele, et rühmitus võib aktiivselt täiustada ja täiustada oma küberrelvi, muutes turvauurijatel rünnakute tuvastamise ja nende eest kaitsmise veelgi keerulisemaks.
