แนปลิสเทเนอร์
เมื่อเร็ว ๆ นี้ กลุ่มภัยคุกคามที่รู้จักกันในชื่อ REF2924 ได้กำหนดเป้าหมายหน่วยงานต่าง ๆ ในเอเชียใต้และเอเชียตะวันออกเฉียงใต้โดยใช้มัลแวร์ชนิดใหม่ มัลแวร์ถูกติดตามเป็น NAPLISTENER และเป็นตัวฟัง HTTP ประเภทหนึ่งที่สร้างขึ้นโดยใช้ภาษาโปรแกรม C# ยังไม่มีใครพบเห็น NAPLITENER มาก่อน ทำให้เป็นภัยคุกคามจากมัลแวร์ที่ไม่รู้จักมาก่อน รายละเอียดเกี่ยวกับเรื่องนี้เผยแพร่ในรายงานโดยนักวิจัยของ infosec
ดูเหมือนว่า NAPLISTENER ได้รับการออกแบบมาโดยเฉพาะเพื่อหลบเลี่ยง 'รูปแบบการตรวจจับบนเครือข่าย' ซึ่งหมายความว่าวิธีการตรวจจับแบบดั้งเดิมที่อาศัยการวิเคราะห์ทราฟฟิกเครือข่ายอาจไม่มีประสิทธิภาพในการตรวจจับ NAPLISTENER สิ่งสำคัญคือต้องสังเกตว่า REF2924 มีประวัติการใช้กลยุทธ์ขั้นสูงและซับซ้อนในการโจมตี ดังนั้นการพัฒนาใหม่นี้ควรทำหน้าที่เป็นคำเตือนให้องค์กรในภูมิภาคเป้าหมายยังคงเฝ้าระวังและจัดลำดับความสำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์เพื่อป้องกันตนเองจากการโจมตีที่อาจเกิดขึ้นโดย REF2924
กลุ่มแฮ็กเกอร์ REF2924 ขยายการคุกคามอาร์เซนอล
ชื่อ 'REF2924' หมายถึงกลุ่มผู้โจมตีทางไซเบอร์ที่มีส่วนร่วมในการดำเนินการโจมตีเป้าหมายในอัฟกานิสถาน เช่นเดียวกับสำนักงานกิจการต่างประเทศของสมาชิกอาเซียนในปี 2565 เชื่อว่าผู้โจมตีเหล่านี้มีกลวิธีและเทคนิคที่คล้ายคลึงกัน และกระบวนการกับกลุ่มแฮ็กอีกกลุ่มที่รู้จักกันในชื่อ 'ChamelGang' ซึ่งระบุโดย Positive Technologies บริษัทด้านความปลอดภัยทางไซเบอร์จากรัสเซียในเดือนตุลาคม 2564
วิธีการโจมตีหลักของกลุ่มนี้เกี่ยวข้องกับการใช้ประโยชน์จากเซิร์ฟเวอร์ Microsoft Exchange ที่เปิดเผยต่ออินเทอร์เน็ต พวกเขาใช้ช่องโหว่นี้เพื่อติดตั้งแบ็คดอร์ เช่น DOORME, SIESTAGRAPH และ S hadowPad บนระบบเป้าหมาย การใช้ ShadowPad มีความโดดเด่นเป็นพิเศษ เนื่องจากมันแสดงให้เห็นความเชื่อมโยงที่เป็นไปได้กับกลุ่มแฮ็คชาวจีนที่เคยใช้มัลแวร์นี้ในแคมเปญทางไซเบอร์ต่างๆ
NAPLISTENER วางตัวเป็นบริการที่ถูกต้องตามกฎหมาย
กลุ่มแฮ็ค REF2924 ได้เพิ่มอาวุธใหม่ให้กับคลังแสงของมัลแวร์ที่ขยายตัวตลอดเวลา มัลแวร์ใหม่นี้รู้จักกันในชื่อ NAPLISTENER และใช้งานเป็นไฟล์ชื่อ 'wmdtc.exe' ได้รับการออกแบบให้ปลอมตัวเป็นบริการ Microsoft Distributed Transaction Coordinator ('msdtc.exe') ที่ถูกต้องตามกฎหมาย จุดประสงค์ของการปลอมตัวนี้คือเพื่อหลบเลี่ยงการตรวจจับและเข้าถึงระบบเป้าหมายในระยะยาว
NAPLISTENER สร้างตัวฟังคำขอ HTTP ที่สามารถรับคำขอที่เข้ามาจากอินเทอร์เน็ต จากนั้นจะอ่านข้อมูลที่ส่งมา ถอดรหัสจากรูปแบบ Base64 และดำเนินการในหน่วยความจำ การวิเคราะห์รหัสของมัลแวร์บ่งชี้ว่า REF2924 ยืมหรือนำรหัสกลับมาใช้ใหม่จากโครงการโอเพ่นซอร์สที่โฮสต์บน GitHub สิ่งนี้บ่งชี้ว่ากลุ่มอาจกำลังปรับแต่งและปรับปรุงอาวุธไซเบอร์ของตนอย่างแข็งขัน อาจทำให้นักวิจัยด้านความปลอดภัยตรวจจับและป้องกันการโจมตีได้ยากยิ่งขึ้น
