NAPLISTEN

Baru-baru ini, kumpulan ancaman yang dikenali sebagai REF2924 telah menyasarkan pelbagai entiti di Asia Selatan dan Tenggara menggunakan jenis perisian hasad baharu. Malware dijejaki sebagai NAPLISTENER dan merupakan sejenis pendengar HTTP yang dicipta menggunakan bahasa pengaturcaraan C#. NAPLISTENER tidak pernah dilihat sebelum ini, menjadikannya ancaman perisian hasad yang tidak diketahui sebelum ini. Butiran mengenainya dikeluarkan dalam laporan oleh penyelidik infosec.

NAPLISTENER nampaknya telah direka bentuk khusus untuk mengelakkan 'bentuk pengesanan berasaskan rangkaian.' Ini bermakna kaedah pengesanan tradisional yang bergantung pada analisis trafik rangkaian mungkin tidak berkesan dalam mengesan NAPLISTENER. Adalah penting untuk ambil perhatian bahawa REF2924 mempunyai sejarah menggunakan taktik canggih dan canggih dalam serangan mereka. Oleh itu, perkembangan baharu ini harus menjadi amaran kepada organisasi di wilayah yang disasarkan untuk terus berwaspada dan mengutamakan langkah keselamatan siber mereka untuk melindungi diri mereka daripada kemungkinan serangan oleh REF2924.

Kumpulan Penggodam REF2924 Meluaskan Arsenal Yang Mengancamnya

Nama 'REF2924' merujuk kepada sekumpulan penyerang siber yang telah terlibat dalam melakukan serangan terhadap sasaran di Afghanistan serta Pejabat Hal Ehwal Luar negara anggota ASEAN pada tahun 2022. Penyerang ini dipercayai berkongsi taktik, teknik yang sama , dan prosedur dengan kumpulan penggodaman lain yang dikenali sebagai 'ChamelGang,' yang dikenal pasti oleh Positive Technologies, sebuah syarikat keselamatan siber dari Rusia, pada Oktober 2021.

Kaedah utama serangan kumpulan itu melibatkan mengeksploitasi pelayan Microsoft Exchange yang terdedah kepada internet. Mereka menggunakan kelemahan ini untuk memasang pintu belakang seperti DOORME, SIESTAGRAPH dan S hadowPad pada sistem yang disasarkan. Penggunaan ShadowPad amat ketara, kerana ia mencadangkan kemungkinan sambungan kepada kumpulan penggodaman Cina yang sebelum ini menggunakan perisian hasad ini dalam pelbagai kempen siber.

NAPLISTENER Menyamar sebagai Perkhidmatan yang Sah

Kumpulan penggodaman REF2924 telah menambah senjata baharu pada senjata malware mereka yang sentiasa berkembang. Perisian hasad baharu ini, dikenali sebagai NAPLISTENER dan digunakan sebagai fail bernama 'wmdtc.exe,' direka bentuk untuk menyamar sebagai perkhidmatan Penyelaras Transaksi Teragih Microsoft ('msdtc.exe') yang sah. Matlamat penyamaran ini adalah untuk mengelakkan pengesanan dan mendapatkan akses jangka panjang kepada sistem yang disasarkan.

NAPLISTENER mencipta pendengar permintaan HTTP yang boleh menerima permintaan masuk daripada internet. Ia kemudian membaca sebarang data yang diserahkan, menyahkodnya daripada format Base64, dan melaksanakannya dalam ingatan. Analisis kod perisian hasad menunjukkan bahawa REF2924 meminjam atau menggunakan semula kod daripada projek sumber terbuka yang dihoskan di GitHub. Ini menunjukkan bahawa kumpulan itu mungkin sedang aktif memperhalusi dan menambah baik senjata sibernya, yang berpotensi menyukarkan lagi penyelidik keselamatan untuk mengesan dan mempertahankan diri daripada serangan mereka.