הנחות רישוי רב
Threat Database Malware NAPLISTENER

NAPLISTENER

עד Mezo ב-Malware
לתרגם ל:
עברית

לאחרונה, קבוצת האיומים המכונה REF2924 מכוונת לגורמים שונים בדרום ודרום מזרח אסיה באמצעות סוג חדש של תוכנות זדוניות. מעקב אחר התוכנה הזדונית הוא NAPLISTENER והוא סוג של מאזין HTTP שנוצר באמצעות שפת התכנות C#. NAPLISTENER לא נראה בעבר, מה שהופך אותו לאיום תוכנה זדונית שלא היה ידוע בעבר. פרטים על כך פורסמו בדו"ח של חוקרי ה-infosec.

נראה כי NAPLISTENER תוכנן במיוחד כדי להתחמק מ'צורות זיהוי מבוססות רשת'. המשמעות היא ששיטות זיהוי מסורתיות המסתמכות על ניתוח תעבורת רשת עשויות שלא להיות יעילות בזיהוי NAPLISTENER. חשוב לציין של-REF2924 יש היסטוריה של שימוש בטקטיקות מתקדמות ומתוחכמות בהתקפות שלהם. לכן, פיתוח חדש זה צריך לשמש אזהרה לארגונים באזורי היעד לשמור על ערנות ולתעדף את אמצעי אבטחת הסייבר שלהם כדי להגן על עצמם מפני התקפות פוטנציאליות של REF2924.

קבוצת ההאקרים REF2924 מרחיבה את הארסנל המאיימת שלה

השם 'REF2924' מתייחס לקבוצה של תוקפי סייבר שהיו מעורבים בביצוע התקפות נגד יעד באפגניסטן, כמו גם למשרד החוץ של חבר ASEAN עוד בשנת 2022. מאמינים שתוקפים אלה חולקים טקטיקות דומות, טכניקות דומות , ונהלים עם קבוצת פריצה נוספת המכונה 'ChamelGang', שזוהתה על ידי Positive Technologies, חברת אבטחת סייבר מרוסיה, באוקטובר 2021.

שיטת ההתקפה העיקרית של הקבוצה כוללת ניצול שרתי Microsoft Exchange החשופים לאינטרנט. הם משתמשים בפגיעות זו כדי להתקין דלתות אחוריות כגון DOORME, SIESTAGRAPH ו-S hadowPad במערכות הממוקדות. השימוש ב-ShadowPad בולט במיוחד, שכן הוא מציע חיבור אפשרי לקבוצות פריצה סיניות שהשתמשו בעבר בתוכנה זדונית זו בקמפיינים שונים בתחום הסייבר.

NAPLISTENER מתחזה לשירות לגיטימי

קבוצת הפריצה REF2924 הוסיפה נשק חדש לארסנל ההולך ומתרחב של תוכנות זדוניות. תוכנה זדונית חדשה זו, המכונה NAPLISTENER ונפרסת כקובץ בשם 'wmdtc.exe', נועדה להסוות את עצמה כשירות לגיטימי של Microsoft Distributed Transaction Coordinator ('msdtc.exe'). מטרת המסווה הזו היא להתחמק מגילוי ולהשיג גישה ארוכת טווח למערכת הממוקדת.

NAPLISTENER יוצר מאזין בקשות HTTP שיכול לקבל בקשות נכנסות מהאינטרנט. לאחר מכן הוא קורא את כל הנתונים שנשלחו, מפענח אותם מפורמט Base64 ומבצע אותם בזיכרון. ניתוח של הקוד של התוכנה הזדונית מצביע על כך ש-REF2924 שאל או שימש מחדש קוד מפרויקטים בקוד פתוח המתארחים ב-GitHub. זה מצביע על כך שהקבוצה עשויה לשכלל ומשפרת באופן אקטיבי את נשק הסייבר שלה, מה שעלול להקשות עוד יותר על חוקרי אבטחה לזהות ולהגן מפני התקפותיהם.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
15,882
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...