NAPLISTENER
Onlangs heeft de dreigingsgroep die bekend staat als REF2924 verschillende entiteiten in Zuid- en Zuidoost-Azië aangevallen met behulp van een nieuw type malware. De malware wordt gevolgd als NAPLISTENER en is een type HTTP-listener dat is gemaakt met behulp van de programmeertaal C#. NAPLISTENER is nog niet eerder gezien, waardoor het een voorheen onbekende malwaredreiging is. Details daarover werden vrijgegeven in een rapport van de infosec-onderzoekers.
NAPLISTENER lijkt speciaal te zijn ontworpen om 'netwerkgebaseerde vormen van detectie' te omzeilen. Dit betekent dat traditionele detectiemethoden die afhankelijk zijn van netwerkverkeeranalyse mogelijk niet effectief zijn bij het detecteren van NAPLISTENER. Het is belangrijk op te merken dat REF2924 een geschiedenis heeft van het gebruik van geavanceerde en geavanceerde tactieken bij hun aanvallen. Daarom moet deze nieuwe ontwikkeling dienen als een waarschuwing voor organisaties in de beoogde regio's om waakzaam te blijven en prioriteit te geven aan hun cyberbeveiligingsmaatregelen om zichzelf te beschermen tegen mogelijke aanvallen door REF2924.
De REF2924 Hacker Group breidt zijn dreigende arsenaal uit
De naam 'REF2924' verwijst naar een groep cyberaanvallers die in 2022 betrokken zijn geweest bij het uitvoeren van aanvallen op een doelwit in Afghanistan en het bureau voor buitenlandse zaken van een ASEAN-lid. Aangenomen wordt dat deze aanvallers vergelijkbare tactieken en technieken delen , en procedures met een andere hackgroep die bekend staat als 'ChamelGang', die in oktober 2021 werd geïdentificeerd door Positive Technologies, een cyberbeveiligingsbedrijf uit Rusland.
De primaire aanvalsmethode van de groep is het misbruiken van Microsoft Exchange-servers die zijn blootgesteld aan internet. Ze gebruiken deze kwetsbaarheid om backdoors zoals DOORME, SIESTAGRAPH en S hadowPad op de beoogde systemen te installeren. Vooral het gebruik van ShadowPad valt op, omdat het een mogelijk verband suggereert met Chinese hackgroepen die deze malware eerder in verschillende cybercampagnes hebben gebruikt.
NAPLISTENER Doet zich voor als legitieme dienst
De hackgroep REF2924 heeft een nieuw wapen toegevoegd aan hun steeds groter wordende arsenaal aan malware. Deze nieuwe malware, bekend als NAPLISTENER en geïmplementeerd als een bestand met de naam 'wmdtc.exe', is ontworpen om zichzelf te vermommen als een legitieme Microsoft Distributed Transaction Coordinator-service ('msdtc.exe'). Het doel van deze vermomming is om detectie te omzeilen en langdurig toegang te krijgen tot het beoogde systeem.
NAPLISTENER maakt een luisteraar voor HTTP-verzoeken die inkomende verzoeken van internet kan ontvangen. Vervolgens leest het alle ingediende gegevens, decodeert het vanuit Base64-formaat en voert het uit in het geheugen. Analyse van de malwarecode suggereert dat REF2924 code heeft geleend of hergebruikt van open-sourceprojecten die op GitHub worden gehost. Dit geeft aan dat de groep actief bezig is met het verfijnen en verbeteren van zijn cyberwapens, waardoor het voor beveiligingsonderzoekers mogelijk nog moeilijker wordt om hun aanvallen te detecteren en zich ertegen te verdedigen.
