NAPASTENER

Di recente, il gruppo di minacce noto come REF2924 ha preso di mira varie entità nel sud e nel sud-est asiatico utilizzando un nuovo tipo di malware. Il malware viene tracciato come NAPLISTENER ed è un tipo di listener HTTP creato utilizzando il linguaggio di programmazione C#. NAPLISTENER non è mai stato visto prima, rendendolo una minaccia malware precedentemente sconosciuta. I dettagli a riguardo sono stati rilasciati in un rapporto dai ricercatori di infosec.

NAPLISTENER sembra essere stato progettato specificamente per eludere le "forme di rilevamento basate sulla rete". Ciò significa che i metodi di rilevamento tradizionali che si basano sull'analisi del traffico di rete potrebbero non essere efficaci nel rilevare NAPLISTENER. È importante notare che REF2924 ha una storia di utilizzo di tattiche avanzate e sofisticate nei loro attacchi. Pertanto, questo nuovo sviluppo dovrebbe servire da monito per le organizzazioni nelle regioni interessate a rimanere vigili e dare priorità alle loro misure di sicurezza informatica per proteggersi da potenziali attacchi di REF2924.

Il REF2924 Hacker Group espande il suo arsenale minaccioso

Il nome "REF2924" si riferisce a un gruppo di aggressori informatici che sono stati coinvolti nell'esecuzione di attacchi contro un obiettivo in Afghanistan, nonché l'ufficio per gli affari esteri di un membro dell'ASEAN nel 2022. Si ritiene che questi aggressori condividano tattiche, tecniche simili e procedure con un altro gruppo di hacker noto come "ChamelGang", identificato da Positive Technologies, una società di sicurezza informatica russa, nell'ottobre 2021.

Il principale metodo di attacco del gruppo prevede lo sfruttamento dei server Microsoft Exchange esposti a Internet. Sfruttano questa vulnerabilità per installare backdoor come DOORME, SIESTAGRAPH e S hadowPad sui sistemi presi di mira. L'uso di ShadowPad è particolarmente degno di nota, in quanto suggerisce una possibile connessione a gruppi di hacker cinesi che hanno precedentemente utilizzato questo malware in varie campagne informatiche.

NAPLISTENER si spaccia per un servizio legittimo

Il gruppo di hacker REF2924 ha aggiunto una nuova arma al proprio arsenale di malware in continua espansione. Questo nuovo malware, noto come NAPLISTENER e distribuito come file denominato "wmdtc.exe", è progettato per camuffarsi da servizio legittimo Microsoft Distributed Transaction Coordinator ("msdtc.exe"). Lo scopo di questo travestimento è eludere il rilevamento e ottenere l'accesso a lungo termine al sistema mirato.

NAPLISTENER crea un listener di richieste HTTP che può ricevere richieste in arrivo da Internet. Quindi legge tutti i dati inviati, li decodifica dal formato Base64 e li esegue in memoria. L'analisi del codice del malware suggerisce che REF2924 ha preso in prestito o riutilizzato il codice da progetti open source ospitati su GitHub. Ciò indica che il gruppo potrebbe perfezionare e migliorare attivamente le sue armi informatiche, rendendo potenzialmente ancora più difficile per i ricercatori di sicurezza rilevare e difendersi dai loro attacchi.