네이플리스너

최근 REF2924로 알려진 위협 그룹은 새로운 유형의 맬웨어를 사용하여 남아시아 및 동남아시아의 다양한 기업을 표적으로 삼고 있습니다. 이 악성코드는 NAPLISTENER로 추적되며 프로그래밍 언어 C#을 사용하여 생성된 일종의 HTTP 수신기입니다. NAPLISTENER는 이전에 발견된 적이 없으므로 이전에 알려지지 않은 맬웨어 위협입니다. 이에 대한 자세한 내용은 infosec 연구원의 보고서에서 발표되었습니다.

NAPLISTENER는 '네트워크 기반 탐지 형식'을 회피하도록 특별히 설계된 것으로 보입니다. 이는 네트워크 트래픽 분석에 의존하는 기존의 탐지 방법이 NAPLISTER를 탐지하는 데 효과적이지 않을 수 있음을 의미합니다. REF2924는 공격에 고급 및 정교한 전술을 사용한 이력이 있다는 점에 유의해야 합니다. 따라서 이 새로운 개발은 REF2924에 의한 잠재적인 공격으로부터 자신을 보호하기 위해 경계를 유지하고 사이버 보안 조치의 우선 순위를 지정하라는 대상 지역의 조직에 대한 경고 역할을 해야 합니다.

REF2924 해커 그룹, 위협 무기 확장

'REF2924'라는 이름은 2022년 아프가니스탄과 아세안 외무부를 대상으로 공격을 감행한 사이버 공격자 집단을 일컫는다. , 2021년 10월 러시아의 사이버 보안 회사인 Positive Technologies가 식별한 또 다른 해킹 그룹 'ChamelGang'과의 절차.

이 그룹의 주요 공격 방법은 인터넷에 노출된 Microsoft Exchange 서버를 악용하는 것입니다. 그들은 이 취약점을 이용하여 대상 시스템에 DOORME, SIESTAGRAPH 및 S hadowPad 와 같은 백도어를 설치합니다. ShadowPad의 사용은 이전에 다양한 사이버 캠페인에서 이 맬웨어를 사용한 적이 있는 중국 해킹 그룹과의 연결 가능성을 시사하므로 특히 주목할 만합니다.

NAPLISTENER는 합법적인 서비스로 위장합니다.

REF2924 해킹 그룹은 계속 확장되는 악성 코드에 새로운 무기를 추가했습니다. NAPLISTENER로 알려져 있고 'wmdtc.exe'라는 파일로 배포된 이 새로운 맬웨어는 합법적인 Microsoft Distributed Transaction Coordinator 서비스('msdtc.exe')로 위장하도록 설계되었습니다. 이 위장의 목적은 탐지를 피하고 대상 시스템에 장기간 액세스하는 것입니다.

NAPLISTENER는 인터넷에서 들어오는 요청을 받을 수 있는 HTTP 요청 수신기를 만듭니다. 그런 다음 제출된 모든 데이터를 읽고 Base64 형식에서 디코딩한 다음 메모리에서 실행합니다. 맬웨어 코드를 분석한 결과 REF2924는 GitHub에서 호스팅되는 오픈 소스 프로젝트에서 코드를 차용하거나 용도 변경한 것으로 나타났습니다. 이는 그룹이 사이버 무기를 적극적으로 개선하고 개선하여 보안 연구원이 공격을 탐지하고 방어하는 것을 더욱 어렵게 만들 수 있음을 나타냅니다.