NAPLISTENER
Ostatnio grupa zagrożeń znana jako REF2924 atakowała różne podmioty w Azji Południowej i Południowo-Wschodniej przy użyciu nowego rodzaju złośliwego oprogramowania. Złośliwe oprogramowanie jest śledzone jako NAPLISTENER i jest typem odbiornika HTTP, który został utworzony przy użyciu języka programowania C#. NAPLISTENER nie był wcześniej widziany, co czyni go wcześniej nieznanym złośliwym oprogramowaniem. Szczegóły na ten temat zostały ujawnione w raporcie badaczy infosec.
Wydaje się, że NAPLISTENER został zaprojektowany specjalnie w celu unikania „sieciowych form wykrywania”. Oznacza to, że tradycyjne metody wykrywania, które opierają się na analizie ruchu sieciowego, mogą nie być skuteczne w wykrywaniu NAPLISTENER. Należy zauważyć, że REF2924 ma historię wykorzystywania zaawansowanych i wyrafinowanych taktyk w swoich atakach. Dlatego ten nowy rozwój powinien służyć jako ostrzeżenie dla organizacji w docelowych regionach, aby zachowały czujność i nadały priorytet środkom bezpieczeństwa cybernetycznego, aby chronić się przed potencjalnymi atakami REF2924.
Grupa hakerów REF2924 rozszerza swój groźny arsenał
Nazwa „REF2924” odnosi się do grupy cyberprzestępców, którzy byli zaangażowani w przeprowadzanie ataków na cel w Afganistanie, a także na Biuro Spraw Zagranicznych członka ASEAN w 2022 r. Uważa się, że ci napastnicy stosują podobne taktyki i techniki oraz procedury z inną grupą hakerską znaną jako „ChamelGang”, którą zidentyfikowała Positive Technologies, firma zajmująca się cyberbezpieczeństwem z Rosji, w październiku 2021 r.
Podstawowa metoda ataku grupy polega na wykorzystywaniu serwerów Microsoft Exchange, które są narażone na działanie Internetu. Wykorzystują tę lukę do instalowania backdoorów, takich jak DOORME, SIESTAGRAPH i S hadowPad w atakowanych systemach. Szczególnie godne uwagi jest użycie ShadowPada, ponieważ sugeruje możliwe powiązania z chińskimi grupami hakerskimi, które wcześniej wykorzystywały to złośliwe oprogramowanie w różnych kampaniach cybernetycznych.
NAPLISTENER udaje legalną usługę
Grupa hakerska REF2924 dodała nową broń do swojego stale powiększającego się arsenału złośliwego oprogramowania. To nowe złośliwe oprogramowanie, znane jako NAPLISTENER i wdrażane jako plik o nazwie "wmdtc.exe", ma na celu podszywanie się pod legalną usługę Microsoft Distributed Transaction Coordinator ("msdtc.exe"). Celem tego przebrania jest uniknięcie wykrycia i uzyskanie długoterminowego dostępu do docelowego systemu.
NAPLISTENER tworzy odbiornik żądań HTTP, który może odbierać żądania przychodzące z Internetu. Następnie odczytuje przesłane dane, dekoduje je z formatu Base64 i wykonuje w pamięci. Analiza kodu złośliwego oprogramowania sugeruje, że REF2924 pożyczył lub zmienił przeznaczenie kodu z projektów open source hostowanych na GitHub. Wskazuje to, że grupa może aktywnie udoskonalać i ulepszać swoją cyberbroń, potencjalnie jeszcze bardziej utrudniając badaczom bezpieczeństwa wykrywanie ich ataków i obronę przed nimi.
