NAPLISTENER
Kamakailan, ang grupo ng pagbabanta na kilala bilang REF2924 ay nagta-target sa iba't ibang entity sa Timog at Timog Silangang Asya gamit ang isang bagong uri ng malware. Ang malware ay sinusubaybayan bilang NAPLISTENER at isang uri ng HTTP listener na nilikha gamit ang programming language na C#. Ang NAPLISTENER ay hindi pa nakikita dati, na ginagawa itong isang hindi kilalang banta ng malware. Ang mga detalye tungkol dito ay inilabas sa isang ulat ng mga mananaliksik ng infosec.
Lumilitaw na ang NAPLISTENER ay partikular na idinisenyo upang maiwasan ang 'mga paraan ng pagtuklas na nakabatay sa network.' Nangangahulugan ito na ang mga tradisyunal na paraan ng pagtuklas na umaasa sa pagsusuri sa trapiko ng network ay maaaring hindi epektibo sa pag-detect ng NAPLISTENER. Mahalagang tandaan na ang REF2924 ay may kasaysayan ng paggamit ng mga advanced at sopistikadong taktika sa kanilang mga pag-atake. Samakatuwid, ang bagong pag-unlad na ito ay dapat magsilbing babala sa mga organisasyon sa mga target na rehiyon na manatiling mapagbantay at unahin ang kanilang mga hakbang sa cybersecurity upang maprotektahan ang kanilang sarili mula sa mga potensyal na pag-atake ng REF2924.
Pinalawak ng REF2924 Hacker Group ang Nagbabantang Arsenal
Ang pangalang 'REF2924' ay tumutukoy sa isang grupo ng mga cyber attacker na nasangkot sa pagsasagawa ng mga pag-atake laban sa isang target sa Afghanistan gayundin ang Foreign Affairs Office ng isang miyembro ng ASEAN noong 2022. Ang mga attacker na ito ay pinaniniwalaang may katulad na mga taktika, mga diskarte. , at mga pamamaraan sa isa pang pangkat sa pag-hack na kilala bilang 'ChamelGang,' na kinilala ng Positive Technologies, isang kumpanya ng cybersecurity mula sa Russia, noong Oktubre 2021.
Ang pangunahing paraan ng pag-atake ng grupo ay kinabibilangan ng pagsasamantala sa mga server ng Microsoft Exchange na nakalantad sa internet. Ginagamit nila ang kahinaang ito upang mag-install ng mga backdoor gaya ng DOORME, SIESTAGRAPH, at S hadowPad sa mga naka-target na system. Ang paggamit ng ShadowPad ay partikular na kapansin-pansin, dahil nagmumungkahi ito ng posibleng koneksyon sa mga Chinese hacking group na dati nang gumamit ng malware na ito sa iba't ibang cyber campaign.
NAPLISTENER Nagpapanggap bilang Lehitimong Serbisyo
Ang REF2924 hacking group ay nagdagdag ng bagong armas sa kanilang patuloy na lumalawak na arsenal ng malware. Ang bagong malware na ito, na kilala bilang NAPLISTENER at na-deploy bilang isang file na pinangalanang 'wmdtc.exe,' ay idinisenyo upang itago ang sarili bilang isang lehitimong serbisyo ng Microsoft Distributed Transaction Coordinator ('msdtc.exe'). Ang layunin ng pagbabalatkayo na ito ay upang maiwasan ang pagtuklas at makakuha ng pangmatagalang access sa naka-target na sistema.
Ang NAPLISTENER ay lumilikha ng isang HTTP request listener na maaaring makatanggap ng mga papasok na kahilingan mula sa internet. Pagkatapos ay babasahin nito ang anumang isinumiteng data, i-decode ito mula sa Base64 na format, at ipapatupad ito sa memorya. Ang pagsusuri sa code ng malware ay nagmumungkahi na ang REF2924 ay humiram o muling ginamit ang code mula sa mga open-source na proyekto na naka-host sa GitHub. Ipinahihiwatig nito na ang grupo ay maaaring aktibong pinipino at pinapahusay ang mga cyber weapon nito, na posibleng maging mas mahirap para sa mga mananaliksik ng seguridad na tuklasin at ipagtanggol laban sa kanilang mga pag-atake.
