NAPLISTENER
Äskettäin REF2924-niminen uhkaryhmä on kohdistanut kohteensa eri yksiköihin Etelä- ja Kaakkois-Aasiassa uudentyyppisten haittaohjelmien avulla. Haittaohjelmaa seurataan nimellä NAPLISTENER, ja se on eräänlainen HTTP-kuuntelija, joka on luotu ohjelmointikielellä C#. NAPLISTENER ei ole aiemmin nähty, joten se on aiemmin tuntematon haittaohjelmauhka. Yksityiskohdat siitä julkaistiin infosecin tutkijoiden raportissa.
NAPLISTENER näyttää olevan suunniteltu erityisesti välttämään "verkkopohjaisia havaitsemismuotoja". Tämä tarkoittaa, että perinteiset verkkoliikenneanalyysiin perustuvat tunnistusmenetelmät eivät välttämättä ole tehokkaita NAPLISTENERin havaitsemisessa. On tärkeää huomata, että REF2924 on käyttänyt hyökkäyksissään edistyneitä ja kehittyneitä taktiikoita. Siksi tämän uuden kehityksen pitäisi toimia varoituksena kohdealueiden organisaatioille pysyä valppaina ja priorisoida kyberturvallisuustoimenpiteensä suojautuakseen REF2924:n mahdollisilta hyökkäyksiltä.
REF2924-hakkeriryhmä laajentaa uhkaavaa arsenaaliaan
Nimi "REF2924" viittaa joukkoon kyberhyökkääjiä, jotka ovat osallistuneet hyökkäyksiin Afganistanissa sijaitsevaa kohdetta vastaan sekä ASEANin jäsenen ulkoasiaintoimistoon vuonna 2022. Näillä hyökkääjillä uskotaan jakavan samanlaisia taktiikoita ja tekniikoita. , ja menettelyt toisen hakkerointiryhmän kanssa nimeltä ChamelGang, jonka venäläinen kyberturvallisuusyritys Positive Technologies tunnisti lokakuussa 2021.
Ryhmän ensisijainen hyökkäystapa on Microsoft Exchange -palvelimien hyödyntäminen, jotka ovat alttiina Internetiin. He käyttävät tätä haavoittuvuutta takaovien, kuten DOORME, SIESTAGRAPH ja S hadowPad , asentamiseen kohdejärjestelmiin. ShadowPadin käyttö on erityisen huomionarvoista, koska se viittaa mahdolliseen yhteyteen kiinalaisiin hakkerointiryhmiin, jotka ovat aiemmin käyttäneet tätä haittaohjelmaa erilaisissa kyberkampanjoissa.
NAPLISTENER esiintyy laillisena palveluna
REF2924-hakkerointiryhmä on lisännyt uuden aseen jatkuvasti laajenevaan haittaohjelmaarsenaaliinsa. Tämä uusi haittaohjelma, joka tunnetaan nimellä NAPLISTENER ja joka on otettu käyttöön tiedostona nimeltä "wmdtc.exe", on suunniteltu naamioitumaan lailliseksi Microsoft Distributed Transaction Coordinator -palveluksi ('msdtc.exe'). Tämän naamioinnin tarkoituksena on välttää havaitseminen ja saada pitkäaikainen pääsy kohdejärjestelmään.
NAPLISTENER luo HTTP-pyyntökuuntelijan, joka voi vastaanottaa saapuvia pyyntöjä Internetistä. Sitten se lukee kaikki lähetetyt tiedot, purkaa ne Base64-muodosta ja suorittaa sen muistissa. Haittaohjelman koodin analyysi viittaa siihen, että REF2924 lainasi tai käytti uudelleen koodia GitHubissa isännöidyistä avoimen lähdekoodin projekteista. Tämä viittaa siihen, että ryhmä saattaa aktiivisesti jalostaa ja parantaa kyberaseitaan, mikä saattaa tehdä tietoturvatutkijoille entistä vaikeammaksi havaita hyökkäyksiään ja puolustautua niitä vastaan.
