NAPLISTENER
Pastaruoju metu grėsmių grupė, žinoma kaip REF2924, taikėsi į įvairius subjektus Pietų ir Pietryčių Azijoje, naudodama naujo tipo kenkėjiškas programas. Kenkėjiška programa stebima kaip NAPLISTENER ir yra HTTP klausytojo tipas, sukurtas naudojant programavimo kalbą C#. NAPLISTENER dar nebuvo matytas, todėl tai anksčiau nežinoma kenkėjiškų programų grėsmė. Išsami informacija apie tai buvo paskelbta infosec tyrėjų ataskaitoje.
Atrodo, kad NAPLISTENER buvo sukurtas specialiai tam, kad būtų išvengta „tinklo aptikimo formų“. Tai reiškia, kad tradiciniai aptikimo metodai, pagrįsti tinklo srauto analize, gali būti neveiksmingi aptinkant NAPLISTENER. Svarbu pažymėti, kad REF2924 savo atakose naudojo pažangias ir sudėtingas taktikas. Todėl ši nauja plėtra turėtų būti įspėjimas tikslinių regionų organizacijoms išlikti budrioms ir teikti pirmenybę kibernetinio saugumo priemonėms, kad apsisaugotų nuo galimų REF2924 atakų.
REF2924 įsilaužėlių grupė išplečia savo grėsmingą arsenalą
Pavadinimas „REF2924“ reiškia grupę kibernetinių užpuolikų, kurie 2022 m. dalyvavo vykdant atakas prieš taikinį Afganistane, taip pat ASEAN narės užsienio reikalų biurą. Manoma, kad šie užpuolikai turi panašią taktiką ir metodus. , ir procedūras su kita įsilaužimo grupe, vadinama „ChamelGang“, kurią 2021 m. spalio mėn. nustatė Rusijos kibernetinio saugumo įmonė „Positive Technologies“.
Pagrindinis grupės atakos būdas yra „Microsoft Exchange“ serverių, veikiančių internete, išnaudojimas. Jie naudoja šį pažeidžiamumą norėdami įdiegti galines duris, pvz., DOORME, SIESTAGRAPH ir S hadowPad tikslinėse sistemose. ShadowPad naudojimas yra ypač pastebimas, nes jis rodo galimą ryšį su Kinijos įsilaužimo grupėmis, kurios anksčiau naudojo šią kenkėjišką programą įvairiose kibernetinėse kampanijose.
NAPLISTENER yra teisėta paslauga
REF2924 įsilaužimo grupė savo nuolat besiplečiantį kenkėjiškų programų arsenalą papildė nauju ginklu. Ši nauja kenkėjiška programa, žinoma kaip NAPLISTENER ir įdiegta kaip failas pavadinimu „wmdtc.exe“, sukurta taip, kad užmaskuotų save kaip teisėtą „Microsoft Distributed Transaction Coordinator“ paslaugą („msdtc.exe“). Šio maskavimo tikslas yra išvengti aptikimo ir gauti ilgalaikę prieigą prie tikslinės sistemos.
NAPLISTENER sukuria HTTP užklausų klausytoją, kuris gali priimti gaunamas užklausas iš interneto. Tada jis nuskaito visus pateiktus duomenis, iššifruoja juos iš Base64 formato ir vykdo atmintyje. Kenkėjiškos programos kodo analizė rodo, kad REF2924 pasiskolino arba panaudojo kodą iš atvirojo kodo projektų, priglobtų GitHub. Tai rodo, kad grupė gali aktyviai tobulinti ir tobulinti savo kibernetinius ginklus, todėl saugumo tyrėjams gali būti dar sunkiau aptikti savo atakas ir apsiginti nuo jų.
