NAPLISTENER

Recentemente, o grupo de ameaças conhecido como REF2924 tem como alvo várias entidades no sul e sudeste da Ásia usando um novo tipo de malware. O malware é rastreado como NAPLISTENER e é um tipo de ouvinte HTTP criado usando a linguagem de programação C#. NAPLISTENER não foi visto antes, tornando-se uma ameaça de malware anteriormente desconhecida. Detalhes sobre isso foram divulgados em um relatório dos pesquisadores de infosec do Elastic Security Labs.

NAPLISTENER parece ter sido projetado especificamente para evitar 'formas de detecção baseadas em rede'. Isso significa que os métodos de detecção tradicionais que dependem da análise do tráfego de rede podem não ser eficazes na detecção do NAPLISTENER. É importante observar que o REF2924 tem um histórico de uso de táticas avançadas e sofisticadas em seus ataques. Portanto, esse novo desenvolvimento deve servir como um alerta para as organizações nas regiões-alvo para permanecerem vigilantes e priorizarem suas medidas de segurança cibernética para se protegerem de possíveis ataques do REF2924.

O REF2924 Hacker Group Expande Seu Arsenal Malicioso

O nome 'REF2924' refere-se a um grupo de invasores cibernéticos que estiveram envolvidos na realização de ataques contra um alvo no Afeganistão, bem como o Gabinete de Relações Exteriores de um membro da ASEAN em 2022. Acredita-se que esses invasores compartilhem táticas e técnicas semelhantes , e procedimentos com outro grupo de hackers conhecido como 'ChamelGang', identificado pela Positive Technologies, uma empresa de segurança cibernética da Rússia, em outubro de 2021.

O principal método de ataque do grupo envolve a exploração de servidores Microsoft Exchange que estão expostos à Internet. Eles usam essa vulnerabilidade para instalar backdoors como DOORME, SIESTAGRAPH e ShadowPad nos sistemas visados. O uso do ShadowPad é particularmente notável, pois sugere uma possível conexão com grupos de hackers chineses que já usaram esse malware em várias campanhas cibernéticas.

NAPLISTENER Se Apresenta como um Serviço Legítimo

O grupo de hackers REF2924 adicionou uma nova arma ao seu crescente arsenal de malware. Esse novo malware, conhecido como NAPLISTENER e implantado como um arquivo chamado 'wmdtc.exe', foi projetado para se disfarçar como um serviço legítimo do Microsoft Distributed Transaction Coordinator ('msdtc.exe'). O objetivo desse disfarce é evitar a detecção e obter acesso de longo prazo ao sistema visado.

NAPLISTENER cria um ouvinte de solicitação HTTP que pode receber solicitações de entrada da Internet. Em seguida, ele lê todos os dados enviados, decodifica-os do formato Base64 e os executa na memória. A análise do código do malware sugere que o REF2924 emprestou ou reaproveitou o código de projetos de código aberto hospedados no GitHub. Isso indica que o grupo pode estar refinando e melhorando ativamente suas armas cibernéticas, potencialmente tornando ainda mais difícil para os pesquisadores de segurança detectar e se defender contra seus ataques.