НАПЛИСТЕНЕР
В последнее время группа угроз, известная как REF2924, атакует различные объекты в Южной и Юго-Восточной Азии, используя новый тип вредоносного ПО. Вредоносное ПО отслеживается как NAPLISTENER и представляет собой тип прослушивателя HTTP, созданного с использованием языка программирования C#. NAPLISTENER ранее не был замечен, что делает его ранее неизвестной угрозой вредоносного ПО. Подробности об этом были опубликованы в отчете исследователей информационной безопасности.
Похоже, что NAPLISTENER был разработан специально, чтобы избежать «сетевых форм обнаружения». Это означает, что традиционные методы обнаружения, основанные на анализе сетевого трафика, могут оказаться неэффективными при обнаружении NAPLISTENER. Важно отметить, что REF2924 имеет историю использования продвинутой и изощренной тактики в своих атаках. Таким образом, эта новая разработка должна послужить предупреждением для организаций в целевых регионах, чтобы они сохраняли бдительность и расставляли приоритеты в своих мерах кибербезопасности, чтобы защитить себя от потенциальных атак со стороны REF2924.
Хакерская группа REF2924 расширяет свой угрожающий арсенал
Название «REF2924» относится к группе кибер-злоумышленников, которые участвовали в совершении атак на цель в Афганистане, а также на Управление иностранных дел члена АСЕАН еще в 2022 году. Считается, что эти злоумышленники используют схожие тактики и методы. , а также процедуры с другой хакерской группой, известной как ChamelGang, которая была идентифицирована Positive Technologies, российской компанией по кибербезопасности, в октябре 2021 года.
Основной метод атаки группы включает в себя использование серверов Microsoft Exchange, которые доступны в Интернете. Они используют эту уязвимость для установки на целевых системах таких бэкдоров, как DOORME, SIESTAGRAPH и S hadowPad . Использование ShadowPad особенно примечательно, так как предполагает возможную связь с китайскими хакерскими группами, которые ранее использовали это вредоносное ПО в различных кибер-кампаниях.
NAPLISTENER выдает себя за законную услугу
Хакерская группа REF2924 добавила новое оружие в свой постоянно расширяющийся арсенал вредоносных программ. Это новое вредоносное ПО, известное как NAPLISTENER и развернутое в виде файла с именем «wmdtc.exe», предназначено для маскировки под законную службу координатора распределенных транзакций Microsoft («msdtc.exe»). Цель этой маскировки — избежать обнаружения и получить долгосрочный доступ к целевой системе.
NAPLISTENER создает прослушиватель HTTP-запросов, который может принимать входящие запросы из Интернета. Затем он считывает все отправленные данные, декодирует их из формата Base64 и выполняет в памяти. Анализ кода вредоносной программы позволяет предположить, что REF2924 заимствовал или перепрофилировал код из проектов с открытым исходным кодом, размещенных на GitHub. Это указывает на то, что группа может активно совершенствовать и улучшать свое кибероружие, что может еще больше затруднить обнаружение и защиту от атак для исследователей безопасности.
