नेप्लिस्टनर
हाल ही में, REF2924 के रूप में जाना जाने वाला खतरा समूह एक नए प्रकार के मैलवेयर का उपयोग करके दक्षिण और दक्षिण पूर्व एशिया में विभिन्न संस्थाओं को लक्षित कर रहा है। मैलवेयर को NAPLISTENER के रूप में ट्रैक किया गया है और यह एक प्रकार का HTTP श्रोता है जिसे प्रोग्रामिंग भाषा C# का उपयोग करके बनाया गया था। NAPLISTENER को पहले नहीं देखा गया है, जिससे यह एक पूर्व अज्ञात मैलवेयर खतरा बन गया है। इसके बारे में विवरण Infosec शोधकर्ताओं की एक रिपोर्ट में जारी किया गया।
ऐसा प्रतीत होता है कि नेप्लिस्टनर को विशेष रूप से 'पहचान के नेटवर्क-आधारित रूपों' से बचने के लिए डिज़ाइन किया गया है। इसका मतलब यह है कि पारंपरिक पता लगाने के तरीके जो नेटवर्क ट्रैफिक विश्लेषण पर भरोसा करते हैं, नेप्लिस्टनर का पता लगाने में प्रभावी नहीं हो सकते हैं। यह ध्यान रखना महत्वपूर्ण है कि REF2924 का अपने हमलों में उन्नत और परिष्कृत रणनीति का उपयोग करने का इतिहास रहा है। इसलिए, इस नए विकास को लक्षित क्षेत्रों में संगठनों को सतर्क रहने और REF2924 द्वारा संभावित हमलों से खुद को बचाने के लिए अपने साइबर सुरक्षा उपायों को प्राथमिकता देने के लिए एक चेतावनी के रूप में काम करना चाहिए।
REF2924 हैकर समूह ने अपने खतरनाक शस्त्रागार का विस्तार किया
'REF2924' नाम साइबर हमलावरों के एक समूह को संदर्भित करता है, जो 2022 में अफगानिस्तान में एक लक्ष्य के साथ-साथ एक आसियान सदस्य के विदेश मामलों के कार्यालय पर हमले करने में शामिल रहे हैं। माना जाता है कि ये हमलावर समान रणनीति, तकनीक साझा करते हैं। , और 'चमेलगैंग' नामक एक अन्य हैकिंग समूह के साथ प्रक्रियाएं, जिसकी पहचान अक्टूबर 2021 में रूस की एक साइबर सुरक्षा कंपनी पॉजिटिव टेक्नोलॉजीज द्वारा की गई थी।
समूह के हमले की प्राथमिक विधि में माइक्रोसॉफ्ट एक्सचेंज सर्वरों का शोषण करना शामिल है जो इंटरनेट के संपर्क में हैं। वे इस भेद्यता का उपयोग लक्षित सिस्टम पर DOORME, SIESTAGRAPH, और S HadowPad जैसे बैकडोर स्थापित करने के लिए करते हैं। शैडोपैड का उपयोग विशेष रूप से उल्लेखनीय है, क्योंकि यह चीनी हैकिंग समूहों के संभावित कनेक्शन का सुझाव देता है, जिन्होंने पहले इस मैलवेयर का उपयोग विभिन्न साइबर अभियानों में किया है।
नेप्लिस्टनर एक वैध सेवा के रूप में पेश करता है
REF2924 हैकिंग समूह ने मैलवेयर के अपने बढ़ते शस्त्रागार में एक नया हथियार जोड़ा है। यह नया मैलवेयर, जिसे NAPLISTENER के नाम से जाना जाता है और 'wmdtc.exe' नामक फ़ाइल के रूप में तैनात किया गया है, को स्वयं को वैध Microsoft वितरित लेनदेन समन्वयक सेवा ('msdtc.exe') के रूप में छिपाने के लिए डिज़ाइन किया गया है। इस भेष का उद्देश्य पता लगाने से बचना और लक्षित प्रणाली तक दीर्घकालिक पहुंच प्राप्त करना है।
नेप्लिस्टनर एक HTTP अनुरोध श्रोता बनाता है जो इंटरनेट से आने वाले अनुरोधों को प्राप्त कर सकता है। यह तब किसी भी सबमिट किए गए डेटा को पढ़ता है, इसे बेस 64 प्रारूप से डीकोड करता है, और इसे स्मृति में निष्पादित करता है। मैलवेयर के कोड के विश्लेषण से पता चलता है कि REF2924 ने GitHub पर होस्ट किए गए ओपन-सोर्स प्रोजेक्ट्स से कोड उधार लिया या फिर से तैयार किया। यह इंगित करता है कि समूह अपने साइबर हथियारों को सक्रिय रूप से परिष्कृत और सुधार कर सकता है, संभावित रूप से सुरक्षा शोधकर्ताओं के लिए अपने हमलों का पता लगाने और बचाव करना और भी कठिन बना सकता है।
