NAPLISTENER

Nyligen har hotgruppen känd som REF2924 riktat sig mot olika enheter i Syd- och Sydostasien med hjälp av en ny typ av skadlig programvara. Skadlig programvara spåras som NAPLISTENER och är en typ av HTTP-lyssnare som skapades med hjälp av programmeringsspråket C#. NAPLISTENER har inte setts tidigare, vilket gör det till ett tidigare okänt skadlig programvara. Detaljer om det släpptes i en rapport från infosec-forskarna.

NAPLISTENER verkar ha utformats specifikt för att undvika "nätverksbaserade former av upptäckt". Detta innebär att traditionella detekteringsmetoder som bygger på nätverkstrafikanalys kanske inte är effektiva för att upptäcka NAPLISTENER. Det är viktigt att notera att REF2924 har en historia av att använda avancerad och sofistikerad taktik i sina attacker. Därför bör denna nya utveckling fungera som en varning till organisationer i målregionerna att förbli vaksamma och prioritera sina cybersäkerhetsåtgärder för att skydda sig mot potentiella attacker från REF2924.

REF2924 Hacker Group utökar sitt hotfulla arsenal

Namnet 'REF2924' hänvisar till en grupp cyberangripare som har varit inblandade i att utföra attacker mot ett mål i Afghanistan samt utrikeskontoret för en ASEAN-medlem redan 2022. Dessa angripare tros dela liknande taktik, tekniker , och procedurer med en annan hackergrupp känd som "ChamelGang", som identifierades av Positive Technologies, ett cybersäkerhetsföretag från Ryssland, i oktober 2021.

Gruppens primära angreppsmetod innebär att utnyttja Microsoft Exchange-servrar som är utsatta för internet. De använder denna sårbarhet för att installera bakdörrar som DOORME, SIESTAGRAPH och S hadowPad på de riktade systemen. Användningen av ShadowPad är särskilt anmärkningsvärd, eftersom den antyder en möjlig koppling till kinesiska hackergrupper som tidigare har använt denna skadliga programvara i olika cyberkampanjer.

NAPLISTENER poserar som en legitim tjänst

REF2924-hackargruppen har lagt till ett nytt vapen till sin ständigt växande arsenal av skadlig programvara. Denna nya skadliga programvara, känd som NAPLISTENER och distribuerad som en fil med namnet 'wmdtc.exe', är utformad för att maskera sig som en legitim Microsoft Distributed Transaction Coordinator-tjänst ('msdtc.exe'). Syftet med denna förklädnad är att undvika upptäckt och få långvarig tillgång till det riktade systemet.

NAPLISTENER skapar en HTTP-förfrågningslyssnare som kan ta emot inkommande förfrågningar från internet. Den läser sedan all inlämnad data, avkodar den från Base64-formatet och kör den i minnet. Analys av skadlig kod tyder på att REF2924 lånade eller återanvänder kod från projekt med öppen källkod på GitHub. Detta tyder på att gruppen aktivt förfinar och förbättrar sina cybervapen, vilket potentiellt gör det ännu svårare för säkerhetsforskare att upptäcka och försvara sig mot deras attacker.