NAPLISTENER

Nesen draudu grupa, kas pazīstama kā REF2924, ir vērsta uz dažādām organizācijām Dienvidāzijā un Dienvidaustrumāzijā, izmantojot jauna veida ļaunprātīgu programmatūru. Ļaunprātīga programmatūra tiek izsekota kā NAPLISTENER, un tā ir HTTP klausītāja veids, kas tika izveidots, izmantojot programmēšanas valodu C#. NAPLISTENER vēl nav redzēts, padarot to par iepriekš nezināmu ļaunprātīgas programmatūras draudu. Sīkāka informācija par to tika publicēta infosec pētnieku ziņojumā.

Šķiet, ka NAPLISTENER ir īpaši izstrādāts, lai izvairītos no "tīkla noteikšanas formām". Tas nozīmē, ka tradicionālās noteikšanas metodes, kas balstās uz tīkla trafika analīzi, var nebūt efektīvas NAPLISTENER noteikšanā. Ir svarīgi atzīmēt, ka REF2924 savos uzbrukumos ir izmantojusi progresīvu un izsmalcinātu taktiku. Tāpēc šai jaunajai attīstībai vajadzētu būt brīdinājumam organizācijām mērķa reģionos saglabāt modrību un noteikt prioritāti saviem kiberdrošības pasākumiem, lai pasargātu sevi no iespējamiem REF2924 uzbrukumiem.

REF2924 hakeru grupa paplašina savu draudīgo arsenālu

Nosaukums “REF2924” attiecas uz kiberuzbrucēju grupu, kas 2022. gadā ir bijuši iesaistīti uzbrukumu veikšanā kādam mērķim Afganistānā, kā arī ASEAN dalībvalsts Ārlietu biroju. Tiek uzskatīts, ka šiem uzbrucējiem ir līdzīga taktika un paņēmieni. , un procedūras ar citu hakeru grupu, kas pazīstama ar nosaukumu “ChamelGang”, kuru 2021. gada oktobrī identificēja Krievijas kiberdrošības uzņēmums Positive Technologies.

Grupas galvenā uzbrukuma metode ir Microsoft Exchange serveru izmantošana, kas ir pakļauti internetam. Viņi izmanto šo ievainojamību, lai mērķa sistēmās instalētu aizmugures durvis, piemēram, DOORME, SIESTAGRAPH un S hadowPad . Īpaši pamanāma ir ShadowPad izmantošana, jo tā liecina par iespējamu saistību ar Ķīnas hakeru grupām, kas iepriekš ir izmantojušas šo ļaunprogrammatūru dažādās kiberkampaņās.

NAPLISTENER izliekas kā likumīgs pakalpojums

REF2924 hakeru grupa ir pievienojusi jaunu ieroci savam arvien pieaugošajam ļaunprātīgas programmatūras arsenālam. Šī jaunā ļaunprogrammatūra, kas pazīstama kā NAPLISTENER un tiek izvietota kā fails ar nosaukumu “wmdtc.exe”, ir izstrādāta, lai maskētu sevi kā likumīgu Microsoft izplatīto darījumu koordinatora pakalpojumu (“msdtc.exe”). Šīs maskēšanās mērķis ir izvairīties no atklāšanas un iegūt ilgtermiņa piekļuvi mērķa sistēmai.

NAPLISTENER izveido HTTP pieprasījumu klausītāju, kas var saņemt ienākošos pieprasījumus no interneta. Pēc tam tas nolasa visus iesniegtos datus, atkodē tos no Base64 formāta un izpilda atmiņā. Ļaunprātīgas programmatūras koda analīze liecina, ka REF2924 aizņēmās vai atkārtoti izmantoja kodu no atvērtā pirmkoda projektiem, kas mitināti vietnē GitHub. Tas norāda, ka grupa, iespējams, aktīvi pilnveido un uzlabo savus kiberieročus, potenciāli apgrūtinot drošības pētniekiem viņu uzbrukumu atklāšanu un aizsardzību pret tiem.