НАПЛИСТЕНЕР

Недавно је група претњи позната као РЕФ2924 циљала различите ентитете у јужној и југоисточној Азији користећи нову врсту малвера. Малвер се прати као НАПЛИСТЕНЕР и врста је ХТТП слушаоца који је креиран коришћењем програмског језика Ц#. НАПЛИСТЕНЕР није виђен раније, што га чини раније непознатом претњом малвера. Детаљи о томе објављени су у извештају истраживача Инфосец.

Чини се да је НАПЛИСТЕНЕР посебно дизајниран да избегне „мрежне облике детекције“. То значи да традиционалне методе детекције које се ослањају на анализу мрежног саобраћаја можда неће бити ефикасне у откривању НАПЛИСТЕНЕР-а. Важно је напоменути да РЕФ2924 има историју коришћења напредних и софистицираних тактика у својим нападима. Стога би овај нови развој требало да послужи као упозорење организацијама у циљаним регионима да остану на опрезу и дају приоритет својим мерама сајбер безбедности како би се заштитиле од потенцијалних напада РЕФ2924.

РЕФ2924 Хакерска група проширује свој претећи арсенал

Назив 'РЕФ2924' се односи на групу сајбер нападача који су били укључени у извођење напада на мету у Авганистану, као и на канцеларију за спољне послове једне чланице АСЕАН-а још 2022. године. Верује се да ови нападачи деле сличне тактике, технике , и процедуре са другом хакерском групом познатом као 'ЦхамелГанг', коју је идентификовала Поситиве Тецхнологиес, компанија за сајбер безбедност из Русије, у октобру 2021.

Примарни метод напада групе укључује искоришћавање Мицрософт Екцханге сервера који су изложени интернету. Они користе ову рањивост да инсталирају бацкдоор као што су ДООРМЕ, СИЕСТАГРАПХ и С хадовПад на циљаним системима. Употреба СхадовПад-а је посебно приметна, јер сугерише могућу везу са кинеским хакерским групама које су раније користиле овај малвер у разним сајбер кампањама.

НАПЛИСТЕНЕР се представља као легитимна услуга

Хакерска група РЕФ2924 додала је ново оружје свом растућем арсеналу малвера. Овај нови злонамерни софтвер, познат као НАПЛИСТЕНЕР и примењен као датотека под називом „вмдтц.еке“, дизајниран је да се прикрије као легитимна услуга Мицрософт Дистрибутед Трансацтион Цоординатор („мсдтц.еке“). Циљ ове маске је да се избегне откривање и добије дугорочни приступ циљаном систему.

НАПЛИСТЕНЕР креира слушалац ХТТП захтева који може да прима долазне захтеве са интернета. Затим чита све достављене податке, декодира их из Басе64 формата и извршава их у меморији. Анализа кода злонамерног софтвера сугерише да је РЕФ2924 позајмио или променио код из пројеката отвореног кода који се налазе на ГитХуб-у. Ово указује на то да група можда активно усавршава и побољшава своје сајбер оружје, што потенцијално отежава истраживачима безбедности да открију и бране се од њихових напада.