NAPLISTENER

V zadnjem času skupina groženj, znana kot REF2924, cilja na različne subjekte v južni in jugovzhodni Aziji z uporabo nove vrste zlonamerne programske opreme. Zlonamerna programska oprema se spremlja kot NAPLISTENER in je vrsta poslušalca HTTP, ki je bil ustvarjen s programskim jezikom C#. NAPLISTENER še ni bil viden, zaradi česar je prej neznana grožnja zlonamerne programske opreme. Podrobnosti o tem so bile objavljene v poročilu raziskovalcev infosec.

Zdi se, da je bil NAPLISTENER zasnovan posebej za izogibanje "mrežnim oblikam zaznavanja". To pomeni, da tradicionalne metode odkrivanja, ki temeljijo na analizi omrežnega prometa, morda ne bodo učinkovite pri odkrivanju NAPLISTENER. Pomembno je omeniti, da ima REF2924 zgodovino uporabe naprednih in sofisticiranih taktik v svojih napadih. Zato bi moral ta novi razvoj služiti kot opozorilo organizacijam v ciljnih regijah, naj ostanejo pazljive in dajo prednost ukrepom kibernetske varnosti, da se zaščitijo pred morebitnimi napadi REF2924.

Hekerska skupina REF2924 širi svoj grozeči arzenal

Ime 'REF2924' se nanaša na skupino kibernetskih napadalcev, ki so leta 2022 sodelovali pri izvajanju napadov na cilj v Afganistanu in urad za zunanje zadeve članice ASEAN. Ti napadalci naj bi imeli podobne taktike in tehnike , in postopke z drugo hekersko skupino, znano kot 'ChamelGang', ki jo je oktobra 2021 identificiralo Positive Technologies, podjetje za kibernetsko varnost iz Rusije.

Primarna metoda napada skupine vključuje izkoriščanje strežnikov Microsoft Exchange, ki so izpostavljeni internetu. To ranljivost uporabljajo za namestitev stranskih vrat, kot so DOORME, SIESTAGRAPH in S hadowPad v ciljne sisteme. Posebej opazna je uporaba ShadowPada, saj nakazuje možno povezavo s kitajskimi hekerskimi skupinami, ki so to zlonamerno programsko opremo že uporabljale v različnih kibernetskih kampanjah.

NAPLISTENER se predstavlja kot zakonita storitev

Hekerska skupina REF2924 je svojemu vedno večjemu arzenalu zlonamerne programske opreme dodala novo orožje. Ta nova zlonamerna programska oprema, znana kot NAPLISTENER in nameščena kot datoteka z imenom »wmdtc.exe«, je zasnovana tako, da se prikrije kot zakonita storitev Microsoft Distributed Transaction Coordinator (»msdtc.exe«). Cilj te preobleke je izogniti se odkrivanju in pridobiti dolgoročni dostop do ciljanega sistema.

NAPLISTENER ustvari poslušalca zahtev HTTP, ki lahko sprejema dohodne zahteve iz interneta. Nato prebere vse poslane podatke, jih dekodira iz formata Base64 in izvede v pomnilniku. Analiza kode zlonamerne programske opreme kaže, da si je REF2924 izposodil ali spremenil kodo iz odprtokodnih projektov, ki gostujejo na GitHubu. To nakazuje, da skupina morda aktivno izpopolnjuje in izboljšuje svoje kibernetsko orožje, kar potencialno še otežuje varnostnim raziskovalcem odkrivanje in obrambo pred njihovimi napadi.