NAPLISTENER

Recent, grupul de amenințări cunoscut sub numele de REF2924 a vizat diverse entități din Asia de Sud și de Sud-Est folosind un nou tip de malware. Malware-ul este urmărit ca NAPLISTENER și este un tip de ascultător HTTP care a fost creat folosind limbajul de programare C#. NAPLISTENER nu a fost văzut până acum, ceea ce îl face o amenințare malware necunoscută anterior. Detalii despre aceasta au fost publicate într-un raport al cercetătorilor Infosec.

NAPLISTENER pare să fi fost conceput special pentru a evita „formele de detectare bazate pe rețea”. Aceasta înseamnă că metodele tradiționale de detectare care se bazează pe analiza traficului de rețea pot să nu fie eficiente în detectarea NAPLISTENER. Este important de reținut că REF2924 are o istorie în utilizarea tacticilor avansate și sofisticate în atacurile lor. Prin urmare, această nouă dezvoltare ar trebui să servească drept avertisment pentru organizațiile din regiunile vizate să rămână vigilente și să prioritizeze măsurile lor de securitate cibernetică pentru a se proteja de potențiale atacuri ale REF2924.

Grupul de hackeri REF2924 își extinde Arsenalul amenințător

Numele „REF2924” se referă la un grup de atacatori cibernetici care au fost implicați în desfășurarea de atacuri împotriva unei ținte în Afganistan, precum și la Biroul de Afaceri Externe al unui membru ASEAN în 2022. Se crede că acești atacatori împărtășesc tactici și tehnici similare. , și proceduri cu un alt grup de hacking cunoscut sub numele de „ChamelGang”, care a fost identificat de Positive Technologies, o companie de securitate cibernetică din Rusia, în octombrie 2021.

Metoda principală de atac a grupului implică exploatarea serverelor Microsoft Exchange care sunt expuse internetului. Ei folosesc această vulnerabilitate pentru a instala uși din spate precum DOORME, SIESTAGRAPH și S hadowPad pe sistemele vizate. Utilizarea ShadowPad este deosebit de notabilă, deoarece sugerează o posibilă conexiune cu grupuri de hacking chineze care au folosit anterior acest malware în diferite campanii cibernetice.

NAPLISTENER Pozează ca un serviciu legitim

Grupul de hacking REF2924 a adăugat o nouă armă la arsenalul lor în continuă expansiune de malware. Acest nou malware, cunoscut sub numele de NAPLISTENER și implementat ca fișier denumit „wmdtc.exe”, este conceput pentru a se deghiza ca un serviciu Microsoft Distributed Transaction Coordinator („msdtc.exe”). Scopul acestei deghizări este de a evita detectarea și de a obține acces pe termen lung la sistemul vizat.

NAPLISTENER creează un ascultător de solicitări HTTP care poate primi solicitări primite de pe internet. Apoi citește orice date trimise, le decodifică din formatul Base64 și le execută în memorie. Analiza codului malware-ului sugerează că REF2924 a împrumutat sau reutilizat cod din proiecte open-source găzduite pe GitHub. Acest lucru indică faptul că grupul ar putea să își perfecționeze și să-și îmbunătățească în mod activ armele cibernetice, ceea ce ar putea face și mai dificil pentru cercetătorii în domeniul securității să detecteze și să se apere împotriva atacurilor lor.