NAPLISTENER

Kohët e fundit, grupi i kërcënimit i njohur si REF2924 ka synuar entitete të ndryshme në Azinë Jugore dhe Juglindore duke përdorur një lloj të ri malware. Malware gjurmohet si NAPLISTENER dhe është një lloj dëgjuesi HTTP që është krijuar duke përdorur gjuhën e programimit C#. NAPLISTENER nuk është parë më parë, duke e bërë atë një kërcënim të panjohur më parë malware. Detajet rreth tij u publikuan në një raport nga studiuesit e infosec.

NAPLISTENER duket se është krijuar posaçërisht për të shmangur "format e zbulimit të bazuara në rrjet". Kjo do të thotë se metodat tradicionale të zbulimit që mbështeten në analizën e trafikut të rrjetit mund të mos jenë efektive në zbulimin e NAPLISTENER. Është e rëndësishme të theksohet se REF2924 ka një histori të përdorimit të taktikave të avancuara dhe të sofistikuara në sulmet e tyre. Prandaj, ky zhvillim i ri duhet të shërbejë si një paralajmërim për organizatat në rajonet e synuara që të qëndrojnë vigjilente dhe të kenë prioritet masat e tyre të sigurisë kibernetike për t'u mbrojtur nga sulmet e mundshme nga REF2924.

Grupi i Hakerëve REF2924 zgjeron Arsenalin e tij kërcënues

Emri 'REF2924' i referohet një grupi sulmuesish kibernetikë që kanë qenë të përfshirë në kryerjen e sulmeve kundër një objektivi në Afganistan, si dhe Zyrës së Punëve të Jashtme të një anëtari të ASEAN në vitin 2022. Këta sulmues besohet se ndajnë taktika dhe teknika të ngjashme , dhe procedurat me një grup tjetër hakerimi të njohur si 'ChamelGang', i cili u identifikua nga Positive Technologies, një kompani e sigurisë kibernetike nga Rusia, në tetor 2021.

Metoda kryesore e sulmit të grupit përfshin shfrytëzimin e serverëve të Microsoft Exchange që janë të ekspozuar ndaj internetit. Ata e përdorin këtë dobësi për të instaluar dyer të pasme si DOORME, SIESTAGRAPH dhe S hadowPad në sistemet e synuara. Përdorimi i ShadowPad është veçanërisht i dukshëm, pasi sugjeron një lidhje të mundshme me grupet e hakerëve kinezë që kanë përdorur më parë këtë malware në fushata të ndryshme kibernetike.

NAPLISTENER Paraqitet si një shërbim legjitim

Grupi i hakerëve REF2924 ka shtuar një armë të re në arsenalin e tyre gjithnjë në zgjerim të malware. Ky malware i ri, i njohur si NAPLISTENER dhe i vendosur si një skedar me emrin 'wmdtc.exe', është krijuar për të maskuar veten si një shërbim legjitim i Microsoft Distributed Transaction Coordinator ('msdtc.exe'). Qëllimi i këtij maskimi është të shmangë zbulimin dhe të fitojë akses afatgjatë në sistemin e synuar.

NAPLISTENER krijon një dëgjues kërkesash HTTP që mund të marrë kërkesat hyrëse nga interneti. Më pas lexon çdo të dhënë të paraqitur, e deshifron atë nga formati Base64 dhe e ekzekuton në memorie. Analiza e kodit të malware sugjeron që REF2924 ka huazuar ose ripërdorur kodin nga projektet me burim të hapur të pritur në GitHub. Kjo tregon se grupi mund të jetë duke rafinuar dhe përmirësuar në mënyrë aktive armët e tij kibernetike, duke e bërë potencialisht edhe më të vështirë për studiuesit e sigurisë zbulimin dhe mbrojtjen kundër sulmeve të tyre.