NAPLISTENER
சமீபத்தில், REF2924 எனப்படும் அச்சுறுத்தல் குழு, புதிய வகை தீம்பொருளைப் பயன்படுத்தி தெற்கு மற்றும் தென்கிழக்கு ஆசியாவில் உள்ள பல்வேறு நிறுவனங்களை குறிவைத்து வருகிறது. தீம்பொருள் NAPLISTENER ஆக கண்காணிக்கப்படுகிறது மற்றும் இது ஒரு வகை HTTP கேட்பான், இது நிரலாக்க மொழி C# ஐப் பயன்படுத்தி உருவாக்கப்பட்டது. NAPLISTENER இதற்கு முன் காணப்படவில்லை, இது முன்னர் அறியப்படாத தீம்பொருள் அச்சுறுத்தலாக உள்ளது. இது பற்றிய விவரங்கள் இன்ஃபோசெக் ஆராய்ச்சியாளர்களின் அறிக்கையில் வெளியிடப்பட்டுள்ளன.
NAPLISTENER ஆனது 'நெட்வொர்க்-அடிப்படையிலான கண்டறிதல் வடிவங்களை' தவிர்ப்பதற்காக வடிவமைக்கப்பட்டதாகத் தெரிகிறது. நெட்வொர்க் டிராஃபிக் பகுப்பாய்வை நம்பியிருக்கும் பாரம்பரிய கண்டறிதல் முறைகள் NAPLISTENER ஐக் கண்டறிவதில் பயனுள்ளதாக இருக்காது என்பதே இதன் பொருள். REF2924 அவர்களின் தாக்குதல்களில் மேம்பட்ட மற்றும் அதிநவீன தந்திரோபாயங்களைப் பயன்படுத்திய வரலாற்றைக் கொண்டுள்ளது என்பதைக் கவனத்தில் கொள்ள வேண்டும். எனவே, REF2924 இன் சாத்தியமான தாக்குதல்களில் இருந்து தங்களைப் பாதுகாத்துக் கொள்ள, விழிப்புடன் இருக்கவும், தங்கள் இணையப் பாதுகாப்பு நடவடிக்கைகளுக்கு முன்னுரிமை அளிக்கவும் இலக்கு வைக்கப்பட்ட பகுதிகளில் உள்ள நிறுவனங்களுக்கு இந்த புதிய வளர்ச்சி எச்சரிக்கையாக இருக்க வேண்டும்.
REF2924 ஹேக்கர் குழு அதன் அச்சுறுத்தும் ஆயுதக் களஞ்சியத்தை விரிவுபடுத்துகிறது
'REF2924' என்ற பெயர், ஆப்கானிஸ்தானில் உள்ள இலக்கு மற்றும் 2022 ஆம் ஆண்டு ஆசியான் உறுப்பினரின் வெளியுறவு அலுவலகம் மீது தாக்குதல்களை நடத்துவதில் ஈடுபட்டுள்ள இணையத் தாக்குதலாளிகளின் குழுவைக் குறிக்கிறது. இந்த தாக்குதல் நடத்துபவர்கள் இதேபோன்ற தந்திரோபாயங்கள், நுட்பங்களைப் பகிர்ந்து கொள்வதாக நம்பப்படுகிறது. அக்டோபர் 2021 இல் ரஷ்யாவைச் சேர்ந்த சைபர் செக்யூரிட்டி நிறுவனமான பாசிட்டிவ் டெக்னாலஜிஸ் மூலம் அடையாளம் காணப்பட்ட 'சாமல் கேங்' எனப்படும் மற்றொரு ஹேக்கிங் குழுவுடனான நடைமுறைகள்.
குழுவின் முதன்மையான தாக்குதல் முறையானது, இணையத்தில் வெளிப்படும் மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்ச் சேவையகங்களைப் பயன்படுத்துவதை உள்ளடக்கியது. இலக்கு கணினிகளில் DOORME, SIESTAGRAPH மற்றும் S hadowPad போன்ற பின்கதவுகளை நிறுவ இந்த பாதிப்பை அவர்கள் பயன்படுத்துகின்றனர். ShadowPad இன் பயன்பாடு குறிப்பாக குறிப்பிடத்தக்கது, ஏனெனில் இது முன்னர் பல்வேறு சைபர் பிரச்சாரங்களில் இந்த தீம்பொருளைப் பயன்படுத்திய சீன ஹேக்கிங் குழுக்களுடன் சாத்தியமான இணைப்பைப் பரிந்துரைக்கிறது.
NAPLISTENER ஒரு சட்டபூர்வமான சேவையாகக் காட்டுகிறார்
REF2924 ஹேக்கிங் குழு, தீம்பொருளின் எப்போதும் விரிவடைந்து வரும் ஆயுதக் களஞ்சியத்தில் ஒரு புதிய ஆயுதத்தைச் சேர்த்துள்ளது. இந்த புதிய தீம்பொருள், NAPLISTENER என அறியப்பட்டு, 'wmdtc.exe' என்ற பெயரிடப்பட்ட கோப்பாக பயன்படுத்தப்படுகிறது, இது ஒரு முறையான Microsoft விநியோகிக்கப்பட்ட பரிவர்த்தனை ஒருங்கிணைப்பாளர் சேவையாக ('msdtc.exe') மாறுவேடமிடும் வகையில் வடிவமைக்கப்பட்டுள்ளது. இந்த மாறுவேடத்தின் நோக்கம் கண்டறிதலைத் தவிர்ப்பது மற்றும் இலக்கு அமைப்புக்கான நீண்ட கால அணுகலைப் பெறுவதாகும்.
NAPLISTENER இணையத்தில் இருந்து உள்வரும் கோரிக்கைகளைப் பெறக்கூடிய HTTP கோரிக்கை கேட்பவரை உருவாக்குகிறது. அது சமர்ப்பிக்கப்பட்ட எந்த தரவையும் படித்து, Base64 வடிவமைப்பிலிருந்து டிகோட் செய்து, நினைவகத்தில் செயல்படுத்துகிறது. தீம்பொருளின் குறியீட்டின் பகுப்பாய்வு, REF2924 கிட்ஹப்பில் ஹோஸ்ட் செய்யப்பட்ட ஓப்பன் சோர்ஸ் திட்டங்களிலிருந்து குறியீட்டை கடன் வாங்கியது அல்லது மறுபயன்பாடு செய்ததாகக் கூறுகிறது. குழு தனது இணைய ஆயுதங்களை தீவிரமாகச் செம்மைப்படுத்தி மேம்படுத்திக்கொண்டிருப்பதை இது சுட்டிக்காட்டுகிறது, இது பாதுகாப்பு ஆராய்ச்சியாளர்களுக்கு அவர்களின் தாக்குதல்களைக் கண்டறிந்து தற்காத்துக்கொள்வதை இன்னும் கடினமாக்கும்.
