NAPLESZTŐ

A közelmúltban a REF2924 néven ismert fenyegetéscsoport különböző entitásokat céloz meg Dél- és Délkelet-Ázsiában egy új típusú rosszindulatú program segítségével. A rosszindulatú program NAPLISTENER néven van nyomon követve, és egyfajta HTTP-figyelő, amelyet a C# programozási nyelv használatával hoztak létre. A NAPLISTENER-t korábban nem látták, így korábban ismeretlen kártevő fenyegetés. A részleteket az infosec kutatói közölték egy jelentésben.

Úgy tűnik, hogy a NAPLISTENER-t kifejezetten arra tervezték, hogy elkerülje a „hálózatalapú észlelési formákat”. Ez azt jelenti, hogy a hagyományos észlelési módszerek, amelyek a hálózati forgalom elemzésére támaszkodnak, nem biztos, hogy hatékonyak a NAPLISTENER észlelésében. Fontos megjegyezni, hogy a REF2924 korábban fejlett és kifinomult taktikákat alkalmaz támadásai során. Ezért ennek az új fejlesztésnek figyelmeztetésül kell szolgálnia a megcélzott régiók szervezetei számára, hogy maradjanak éberek, és helyezzék előtérbe kiberbiztonsági intézkedéseiket, hogy megvédjék magukat a REF2924 lehetséges támadásaitól.

A REF2924 Hacker Csoport kibővíti fenyegető arzenálját

A „REF2924” név kibertámadók egy csoportjára utal, akik részt vettek egy afganisztáni célpont, valamint egy ASEAN-tag külügyi hivatala elleni támadásokban 2022-ben. Ezek a támadók vélhetően hasonló taktikát és technikát használnak. , valamint eljárások egy másik, a „ChamelGang” néven ismert hackercsoporttal, amelyet a Positive Technologies, egy oroszországi kiberbiztonsági vállalat azonosított 2021 októberében.

A csoport elsődleges támadási módszere az internetnek kitett Microsoft Exchange szerverek kihasználása. Ezt a sérülékenységet arra használják, hogy hátsó ajtókat telepítsenek a megcélzott rendszerekre, például DOORME, SIESTAGRAPH és S hadowPad . A ShadowPad használata különösen figyelemre méltó, mivel lehetséges kapcsolatot sejtet olyan kínai hackercsoportokkal, amelyek korábban különféle kiberkampányokban használták ezt a kártevőt.

A NAPLISTENER törvényes szolgáltatásként jelenik meg

A REF2924 hackercsoport új fegyverrel egészítette ki a rosszindulatú programok folyamatosan bővülő arzenálját. Ez az új, NAPLISTENER néven ismert, „wmdtc.exe” nevű fájlként telepített rosszindulatú program célja, hogy legitim Microsoft Distributed Transaction Coordinator szolgáltatásnak ('msdtc.exe') álcázza magát. Ennek az álcának az a célja, hogy elkerülje az észlelést, és hosszú távú hozzáférést nyerjen a megcélzott rendszerhez.

A NAPLISTENER létrehoz egy HTTP-kérés figyelőt, amely fogadni tudja az internetről érkező kéréseket. Ezután beolvassa a beküldött adatokat, dekódolja Base64 formátumból, és végrehajtja a memóriában. A kártevő kódjának elemzése arra utal, hogy a REF2924 kódot kölcsönzött vagy újrahasznosított a GitHubon tárolt nyílt forráskódú projektekből. Ez azt jelzi, hogy a csoport aktívan finomítja és fejleszti kiberfegyvereit, ami potenciálisan még nehezebbé teszi a biztonsági kutatók számára a támadások észlelését és az ellenük való védekezést.