नेपलिस्टनर
हालै, REF2924 को रूपमा चिनिने खतरा समूहले नयाँ प्रकारको मालवेयर प्रयोग गरेर दक्षिण र दक्षिणपूर्वी एशियाका विभिन्न संस्थाहरूलाई लक्षित गर्दै आएको छ। मालवेयर NAPLISTENER को रूपमा ट्र्याक गरिएको छ र प्रोग्रामिङ भाषा C# प्रयोग गरेर सिर्जना गरिएको HTTP श्रोताको एक प्रकार हो। NAPLISTENER पहिले देखिएन, यसलाई पहिले अज्ञात मालवेयर खतरा बनाउँदै। इन्फोसेक अनुसन्धानकर्ताले तयार पारेको प्रतिवेदनमा यसबारे विस्तृत जानकारी दिइएको हो ।
NAPLISTENER विशेष रूपमा 'सञ्जाल-आधारित पत्ता लगाउने रूपहरू' बेवास्ता गर्न डिजाइन गरिएको देखिन्छ। यसको मतलब नेटवर्क ट्राफिक विश्लेषणमा भर पर्ने परम्परागत पत्ता लगाउने विधिहरू NAPLISTENER पत्ता लगाउन प्रभावकारी नहुन सक्छ। यो नोट गर्न महत्त्वपूर्ण छ कि REF2924 सँग तिनीहरूको आक्रमणहरूमा उन्नत र परिष्कृत रणनीतिहरू प्रयोग गर्ने इतिहास छ। तसर्थ, यो नयाँ विकासले लक्षित क्षेत्रका संगठनहरूलाई सतर्क रहन र REF2924 द्वारा सम्भावित आक्रमणहरूबाट आफूलाई जोगाउन साइबर सुरक्षा उपायहरूलाई प्राथमिकता दिन चेतावनीको रूपमा काम गर्नुपर्छ।
REF2924 ह्याकर समूहले यसको खतरापूर्ण आर्सेनल विस्तार गर्दछ
'REF2924' नामले साइबर आक्रमणकारीहरूको समूहलाई जनाउँछ जसले सन् २०२२ मा अफगानिस्तानमा रहेको लक्ष्यका साथसाथै आसियान सदस्यको विदेश मामिला कार्यालयमा पनि आक्रमण गर्न संलग्न थिए। यी आक्रमणकारीहरूले समान रणनीति, प्रविधिहरू साझा गरेको विश्वास गरिन्छ। , र अर्को ह्याकिङ समूहसँगको प्रक्रियाहरू जसलाई 'चेमेलग्याङ' भनिन्छ, जसलाई रूसको साइबर सुरक्षा कम्पनी पोजिटिभ टेक्नोलोजीले अक्टोबर २०२१ मा पहिचान गरेको थियो।
समूहको आक्रमणको प्राथमिक विधिमा इन्टरनेटको सम्पर्कमा रहेका माइक्रोसफ्ट एक्सचेन्ज सर्भरहरूको शोषण समावेश छ। तिनीहरूले लक्षित प्रणालीहरूमा DOORME, SIESTAGRAPH, र S hadowPad जस्ता ब्याकडोरहरू स्थापना गर्न यो जोखिमलाई प्रयोग गर्छन्। ShadowPad को प्रयोग विशेष गरी उल्लेखनीय छ, किनकि यसले चिनियाँ ह्याकिङ समूहहरूसँग सम्भावित जडानको सुझाव दिन्छ जसले यस मालवेयरलाई विभिन्न साइबर अभियानहरूमा प्रयोग गरिसकेका छन्।
NAPLISTENER वैध सेवाको रूपमा प्रस्तुत गर्दछ
REF2924 ह्याकिङ समूहले मालवेयरको आफ्नो सदा-विस्तारित शस्त्रागारमा नयाँ हतियार थपेको छ। यो नयाँ मालवेयर, NAPLISTENER को रूपमा चिनिन्छ र 'wmdtc.exe' नामको फाइलको रूपमा डिप्लोइड गरिएको छ, यसलाई एक वैध माइक्रोसफ्ट डिस्ट्रिब्युटेड ट्रान्जेक्शन कोर्डिनेटर सेवा ('msdtc.exe') को रूपमा लुकाउन डिजाइन गरिएको छ। यस भेषको उद्देश्य पत्ता लगाउनबाट जोगिन र लक्षित प्रणालीमा दीर्घकालीन पहुँच प्राप्त गर्नु हो।
NAPLISTENER ले HTTP अनुरोध श्रोता सिर्जना गर्दछ जसले इन्टरनेटबाट आगमन अनुरोधहरू प्राप्त गर्न सक्छ। त्यसपछि यो कुनै पनि पेश गरिएको डाटा पढ्छ, यसलाई Base64 ढाँचाबाट डिकोड गर्दछ, र मेमोरीमा कार्यान्वयन गर्दछ। मालवेयरको कोडको विश्लेषणले सुझाव दिन्छ कि REF2924 ले GitHub मा होस्ट गरिएका ओपन-सोर्स प्रोजेक्टहरूबाट कोड उधारो वा पुन: निर्माण गरेको हो। यसले सङ्केत गर्छ कि समूहले सक्रिय रूपमा आफ्ना साइबर हतियारहरूलाई परिष्कृत र सुधार गरिरहेको हुन सक्छ, जसले सुरक्षा अनुसन्धानकर्ताहरूलाई उनीहरूको आक्रमणहरू पत्ता लगाउन र रक्षा गर्न अझ गाह्रो बनाउँछ।
