NAPLISTENER
Den siste tiden har trusselgruppen kjent som REF2924 vært rettet mot ulike enheter i Sør- og Sørøst-Asia ved å bruke en ny type skadelig programvare. Skadevaren spores som NAPLISTENER og er en type HTTP-lytter som ble opprettet ved bruk av programmeringsspråket C#. NAPLISTENER har ikke blitt sett før, noe som gjør det til en tidligere ukjent trussel mot skadelig programvare. Detaljer om det ble utgitt i en rapport fra infosec-forskerne.
NAPLISTENER ser ut til å ha blitt designet spesielt for å unngå "nettverksbaserte former for deteksjon." Dette betyr at tradisjonelle deteksjonsmetoder som er avhengige av nettverkstrafikkanalyse kanskje ikke er effektive for å oppdage NAPLISTENER. Det er viktig å merke seg at REF2924 har en historie med å bruke avanserte og sofistikerte taktikker i sine angrep. Derfor bør denne nye utviklingen tjene som en advarsel til organisasjoner i de målrettede regionene om å være årvåkne og prioritere sine cybersikkerhetstiltak for å beskytte seg mot potensielle angrep fra REF2924.
REF2924 Hacker Group utvider sitt truende arsenal
Navnet 'REF2924' refererer til en gruppe cyberangripere som har vært involvert i å utføre angrep mot et mål i Afghanistan samt utenrikskontoret til et ASEAN-medlem tilbake i 2022. Disse angriperne antas å dele lignende taktikker, teknikker , og prosedyrer med en annen hackergruppe kjent som "ChamelGang", som ble identifisert av Positive Technologies, et cybersikkerhetsselskap fra Russland, i oktober 2021.
Gruppens primære angrepsmetode innebærer å utnytte Microsoft Exchange-servere som er eksponert for internett. De bruker denne sårbarheten til å installere bakdører som DOORME, SIESTAGRAPH og S hadowPad på de målrettede systemene. Bruken av ShadowPad er spesielt bemerkelsesverdig, da det antyder en mulig forbindelse til kinesiske hackergrupper som tidligere har brukt denne skadelige programvaren i ulike cyberkampanjer.
NAPLISTENER stiller seg som en legitim tjeneste
REF2924-hackinggruppen har lagt til et nytt våpen til deres stadig voksende arsenal av skadelig programvare. Denne nye skadelige programvaren, kjent som NAPLISTENER og distribuert som en fil kalt 'wmdtc.exe', er designet for å forkle seg som en legitim Microsoft Distributed Transaction Coordinator-tjeneste ('msdtc.exe'). Målet med denne forkledningen er å unngå oppdagelse og få langsiktig tilgang til det målrettede systemet.
NAPLISTENER oppretter en HTTP-forespørselslytter som kan motta innkommende forespørsler fra internett. Den leser deretter alle innsendte data, dekoder dem fra Base64-format og kjører dem i minnet. Analyse av skadevarekoden antyder at REF2924 lånte eller gjenbrukte kode fra åpen kildekode-prosjekter som er vert på GitHub. Dette indikerer at gruppen aktivt foredler og forbedrer sine cybervåpen, noe som potensielt gjør det enda vanskeligere for sikkerhetsforskere å oppdage og forsvare seg mot deres angrep.
