ناپلیستنر
اخیراً گروه تهدید موسوم به REF2924 با استفاده از نوع جدیدی از بدافزارها، نهادهای مختلف در جنوب و جنوب شرق آسیا را هدف قرار داده است. این بدافزار به عنوان NAPLISTENER ردیابی می شود و نوعی شنونده HTTP است که با استفاده از زبان برنامه نویسی C# ایجاد شده است. NAPLISTENER قبلا دیده نشده بود، و آن را به یک تهدید بدافزار ناشناخته تبدیل می کند. جزئیات مربوط به آن در گزارشی توسط محققان infosec منتشر شد.
به نظر می رسد NAPLISTENER به طور خاص برای فرار از "اشکال شناسایی مبتنی بر شبکه" طراحی شده است. این بدان معناست که روشهای تشخیص سنتی که بر تحلیل ترافیک شبکه تکیه دارند ممکن است در تشخیص NAPLISTENER مؤثر نباشند. ذکر این نکته ضروری است که REF2924 سابقه استفاده از تاکتیک های پیشرفته و پیچیده در حملات خود را دارد. بنابراین، این توسعه جدید باید به عنوان هشداری برای سازمانها در مناطق هدف باشد تا مراقب باشند و اقدامات امنیت سایبری خود را برای محافظت از خود در برابر حملات احتمالی REF2924 در اولویت قرار دهند.
گروه هکر REF2924 آرسنال تهدیدآمیز خود را گسترش می دهد
نام "REF2924" به گروهی از مهاجمان سایبری اشاره دارد که در انجام حملات علیه هدفی در افغانستان و همچنین دفتر امور خارجه یکی از اعضای آسهآن در سال 2022 دست داشتهاند. گمان میرود این مهاجمان تاکتیکها، تکنیکهای مشابهی را به اشتراک بگذارند. و رویهها با گروه هکر دیگری به نام ChamelGang که توسط Positive Technologies، یک شرکت امنیت سایبری از روسیه، در اکتبر 2021 شناسایی شد.
روش اصلی حمله این گروه شامل بهره برداری از سرورهای Microsoft Exchange است که در معرض اینترنت هستند. آنها از این آسیب پذیری برای نصب درب های پشتی مانند DOORME، SIESTAGRAPH و S hadowPad بر روی سیستم های هدف استفاده می کنند. استفاده از ShadowPad به ویژه قابل توجه است، زیرا ارتباط احتمالی با گروههای هکر چینی را که قبلاً از این بدافزار در کمپینهای مختلف سایبری استفاده کردهاند، نشان میدهد.
NAPLISTENER به عنوان یک سرویس قانونی مطرح می شود
گروه هک REF2924 یک سلاح جدید به زرادخانه بدافزارهای در حال گسترش خود اضافه کرده است. این بدافزار جدید که با نام NAPLISTENER شناخته میشود و بهعنوان فایلی با نام «wmdtc.exe» مستقر میشود، طراحی شده است تا خود را به عنوان یک سرویس هماهنگ کننده تراکنش توزیعشده مایکروسافت («msdtc.exe») پنهان کند. هدف از این مبدل، فرار از شناسایی و دسترسی طولانی مدت به سیستم هدف است.
NAPLISTENER یک شنونده درخواست HTTP ایجاد می کند که می تواند درخواست های دریافتی از اینترنت را دریافت کند. سپس هر داده ارسالی را می خواند، آن را از قالب Base64 رمزگشایی می کند و در حافظه اجرا می کند. تجزیه و تحلیل کد این بدافزار نشان می دهد که REF2924 کد را از پروژه های منبع باز میزبانی شده در GitHub قرض گرفته یا تغییر داده است. این نشان می دهد که این گروه ممکن است به طور فعال در حال پالایش و بهبود تسلیحات سایبری خود باشد که به طور بالقوه شناسایی و دفاع در برابر حملات آنها را برای محققان امنیتی دشوارتر می کند.