NAPLISTENER

Nedavno je grupa prijetnji poznata kao REF2924 ciljala na različite entitete u južnoj i jugoistočnoj Aziji koristeći novu vrstu zlonamjernog softvera. Zlonamjerni softver se prati kao NAPLISTENER i vrsta je HTTP slušatelja koji je stvoren korištenjem programskog jezika C#. NAPLISTENER dosad nije viđen, što ga čini dosad nepoznatom prijetnjom od zlonamjernog softvera. Detalji o tome objavljeni su u izvješću istraživača Infoseca.

Čini se da je NAPLISTENER dizajniran posebno za izbjegavanje 'mrežnih oblika detekcije'. To znači da tradicionalne metode otkrivanja koje se oslanjaju na analizu mrežnog prometa možda neće biti učinkovite u otkrivanju NAPLISTENER-a. Važno je napomenuti da REF2924 ima povijest korištenja naprednih i sofisticiranih taktika u svojim napadima. Stoga bi ovaj novi razvoj trebao poslužiti kao upozorenje organizacijama u ciljanim regijama da ostanu na oprezu i daju prioritet svojim mjerama kibernetičke sigurnosti kako bi se zaštitile od mogućih napada REF2924.

Hakerska skupina REF2924 širi svoj prijeteći arsenal

Naziv 'REF2924' odnosi se na skupinu kibernetičkih napadača koji su bili uključeni u izvođenje napada na cilj u Afganistanu kao i na Ured za vanjske poslove članice ASEAN-a još 2022. Vjeruje se da ovi napadači dijele slične taktike, tehnike , te postupke s drugom hakerskom skupinom poznatom kao 'ChamelGang', koju je identificirala Positive Technologies, tvrtka za kibersigurnost iz Rusije, u listopadu 2021.

Primarna metoda napada grupe uključuje iskorištavanje Microsoft Exchange poslužitelja koji su izloženi internetu. Oni koriste ovu ranjivost za instaliranje stražnjih vrata kao što su DOORME, SIESTAGRAPH i S hadowPad na ciljanim sustavima. Korištenje ShadowPada je posebno istaknuto, jer sugerira moguću povezanost s kineskim hakerskim skupinama koje su ranije koristile ovaj malware u raznim cyber kampanjama.

NAPLISTENER se predstavlja kao legitimna usluga

Hakerska skupina REF2924 dodala je novo oružje svom stalno rastućem arsenalu zlonamjernog softvera. Ovaj novi zlonamjerni softver, poznat kao NAPLISTENER i implementiran kao datoteka pod nazivom 'wmdtc.exe', dizajniran je da se maskira kao legitimna usluga Microsoft Distributed Transaction Coordinator ('msdtc.exe'). Cilj ove maske je izbjeći otkrivanje i dobiti dugoročni pristup ciljanom sustavu.

NAPLISTENER stvara slušatelja HTTP zahtjeva koji može primati dolazne zahtjeve s interneta. Zatim čita sve poslane podatke, dekodira ih iz Base64 formata i izvršava u memoriji. Analiza koda zlonamjernog softvera sugerira da je REF2924 posudio ili prenamijenio kod iz projekata otvorenog koda koji se nalaze na GitHubu. To ukazuje na to da grupa možda aktivno usavršava i poboljšava svoje cyber oružje, potencijalno dodatno otežavajući istraživačima sigurnosti otkrivanje i obranu od njihovih napada.