NAPLISTENER

V poslednej dobe sa skupina hrozieb známa ako REF2924 zameriava na rôzne subjekty v južnej a juhovýchodnej Ázii pomocou nového typu malvéru. Malvér je sledovaný ako NAPLISTENER a je to typ HTTP poslucháča, ktorý bol vytvorený pomocou programovacieho jazyka C#. NAPLISTENER doteraz nikto nevidel, čo z neho robí predtým neznámu malvérovú hrozbu. Podrobnosti o tom zverejnili v správe výskumníci z Infosec.

Zdá sa, že NAPLISTENER bol navrhnutý špeciálne na to, aby sa vyhol „sieťovým formám detekcie“. To znamená, že tradičné metódy detekcie, ktoré sa spoliehajú na analýzu sieťovej prevádzky, nemusia byť účinné pri detekcii NAPLISTENER. Je dôležité poznamenať, že REF2924 má históriu používania pokročilých a sofistikovaných taktík pri svojich útokoch. Tento nový vývoj by preto mal slúžiť ako varovanie pre organizácie v cieľových regiónoch, aby zostali ostražití a uprednostnili svoje opatrenia v oblasti kybernetickej bezpečnosti, aby sa chránili pred potenciálnymi útokmi REF2924.

Hackerská skupina REF2924 rozširuje svoj arzenál hrozieb

Názov „REF2924“ sa vzťahuje na skupinu kybernetických útočníkov, ktorí sa podieľali na vykonávaní útokov proti cieľu v Afganistane, ako aj na Úrad zahraničných vecí člena ASEAN v roku 2022. Predpokladá sa, že títo útočníci zdieľajú podobné taktiky a techniky. a postupy s ďalšou hackerskou skupinou známou ako „ChamelGang“, ktorú v októbri 2021 identifikovala ruská spoločnosť zaoberajúca sa kybernetickou bezpečnosťou Positive Technologies.

Primárna metóda útoku skupiny zahŕňa zneužívanie serverov Microsoft Exchange, ktoré sú vystavené internetu. Túto zraniteľnosť využívajú na inštaláciu zadných vrátok, ako sú DOORME, SIESTAGRAPH a S hadowPad na cieľové systémy. Obzvlášť pozoruhodné je použitie ShadowPad, pretože naznačuje možné spojenie s čínskymi hackerskými skupinami, ktoré predtým používali tento malvér v rôznych kybernetických kampaniach.

NAPLISTENER sa tvári ako legitímna služba

Hackerská skupina REF2924 pridala do svojho neustále sa rozširujúceho arzenálu malvéru novú zbraň. Tento nový malvér, známy ako NAPLISTENER a nasadený ako súbor s názvom „wmdtc.exe“, je navrhnutý tak, aby sa maskoval ako legitímna služba koordinátora distribuovaných transakcií spoločnosti Microsoft („msdtc.exe“). Cieľom tohto prestrojenia je vyhnúť sa detekcii a získať dlhodobý prístup k cieľovému systému.

NAPLISTENER vytvára prijímač požiadaviek HTTP, ktorý môže prijímať prichádzajúce požiadavky z internetu. Potom načíta všetky odoslané údaje, dekóduje ich z formátu Base64 a vykoná ich v pamäti. Analýza kódu malvéru naznačuje, že REF2924 si požičal alebo znovu použil kód z projektov s otvoreným zdrojovým kódom hostených na GitHub. To naznačuje, že skupina môže aktívne zdokonaľovať a zdokonaľovať svoje kybernetické zbrane, čo môže pre výskumníkov v oblasti bezpečnosti ešte viac sťažiť odhalenie a obranu proti ich útokom.