ناپلیستنر

اخیراً گروه تهدید موسوم به REF2924 با استفاده از نوع جدیدی از بدافزارها، نهادهای مختلف در جنوب و جنوب شرق آسیا را هدف قرار داده است. این بدافزار به عنوان NAPLISTENER ردیابی می شود و نوعی شنونده HTTP است که با استفاده از زبان برنامه نویسی C# ایجاد شده است. NAPLISTENER قبلا دیده نشده بود، و آن را به یک تهدید بدافزار ناشناخته تبدیل می کند. جزئیات مربوط به آن در گزارشی توسط محققان infosec منتشر شد.

به نظر می رسد NAPLISTENER به طور خاص برای فرار از "اشکال شناسایی مبتنی بر شبکه" طراحی شده است. این بدان معناست که روش‌های تشخیص سنتی که بر تحلیل ترافیک شبکه تکیه دارند ممکن است در تشخیص NAPLISTENER مؤثر نباشند. ذکر این نکته ضروری است که REF2924 سابقه استفاده از تاکتیک های پیشرفته و پیچیده در حملات خود را دارد. بنابراین، این توسعه جدید باید به عنوان هشداری برای سازمان‌ها در مناطق هدف باشد تا مراقب باشند و اقدامات امنیت سایبری خود را برای محافظت از خود در برابر حملات احتمالی REF2924 در اولویت قرار دهند.

گروه هکر REF2924 آرسنال تهدیدآمیز خود را گسترش می دهد

نام "REF2924" به گروهی از مهاجمان سایبری اشاره دارد که در انجام حملات علیه هدفی در افغانستان و همچنین دفتر امور خارجه یکی از اعضای آسه‌آن در سال 2022 دست داشته‌اند. گمان می‌رود این مهاجمان تاکتیک‌ها، تکنیک‌های مشابهی را به اشتراک بگذارند. و رویه‌ها با گروه هکر دیگری به نام ChamelGang که توسط Positive Technologies، یک شرکت امنیت سایبری از روسیه، در اکتبر 2021 شناسایی شد.

روش اصلی حمله این گروه شامل بهره برداری از سرورهای Microsoft Exchange است که در معرض اینترنت هستند. آنها از این آسیب پذیری برای نصب درب های پشتی مانند DOORME، SIESTAGRAPH و S hadowPad بر روی سیستم های هدف استفاده می کنند. استفاده از ShadowPad به ویژه قابل توجه است، زیرا ارتباط احتمالی با گروه‌های هکر چینی را که قبلاً از این بدافزار در کمپین‌های مختلف سایبری استفاده کرده‌اند، نشان می‌دهد.

NAPLISTENER به عنوان یک سرویس قانونی مطرح می شود

گروه هک REF2924 یک سلاح جدید به زرادخانه بدافزارهای در حال گسترش خود اضافه کرده است. این بدافزار جدید که با نام NAPLISTENER شناخته می‌شود و به‌عنوان فایلی با نام «wmdtc.exe» مستقر می‌شود، طراحی شده است تا خود را به عنوان یک سرویس هماهنگ کننده تراکنش توزیع‌شده مایکروسافت («msdtc.exe») پنهان کند. هدف از این مبدل، فرار از شناسایی و دسترسی طولانی مدت به سیستم هدف است.

NAPLISTENER یک شنونده درخواست HTTP ایجاد می کند که می تواند درخواست های دریافتی از اینترنت را دریافت کند. سپس هر داده ارسالی را می خواند، آن را از قالب Base64 رمزگشایی می کند و در حافظه اجرا می کند. تجزیه و تحلیل کد این بدافزار نشان می دهد که REF2924 کد را از پروژه های منبع باز میزبانی شده در GitHub قرض گرفته یا تغییر داده است. این نشان می دهد که این گروه ممکن است به طور فعال در حال پالایش و بهبود تسلیحات سایبری خود باشد که به طور بالقوه شناسایی و دفاع در برابر حملات آنها را برای محققان امنیتی دشوارتر می کند.