NAPLİSTENER

Son zamanlarda, REF2924 olarak bilinen tehdit grubu, yeni bir kötü amaçlı yazılım türü kullanarak Güney ve Güneydoğu Asya'daki çeşitli varlıkları hedefliyor. Kötü amaçlı yazılım, NAPLISTENER olarak izlenir ve C# programlama dili kullanılarak oluşturulmuş bir tür HTTP dinleyicisidir. NAPLISTENER daha önce görülmediği için önceden bilinmeyen bir kötü amaçlı yazılım tehdididir. Bununla ilgili ayrıntılar, infosec araştırmacıları tarafından hazırlanan bir raporda yayınlandı.

NAPLISTENER, 'ağ tabanlı tespit biçimlerinden' kaçınmak için özel olarak tasarlanmış gibi görünüyor. Bu, ağ trafiği analizine dayanan geleneksel algılama yöntemlerinin NAPLISTENER'ı algılamada etkili olmayabileceği anlamına gelir. REF2924'ün saldırılarında gelişmiş ve sofistike taktikler kullanma geçmişine sahip olduğuna dikkat etmek önemlidir. Bu nedenle, bu yeni gelişme, hedeflenen bölgelerdeki kuruluşlara uyanık kalmaları ve kendilerini REF2924'ün olası saldırılarından korumak için siber güvenlik önlemlerine öncelik vermeleri konusunda bir uyarı işlevi görmelidir.

REF2924 Hacker Grubu Tehditkar Cephaneliğini Genişletiyor

"REF2924" adı, 2022'de Afganistan'daki bir hedefe ve bir ASEAN üyesinin Dışişleri Ofisine yönelik saldırılar gerçekleştirmeye karışan bir grup siber saldırganı ifade ediyor. Bu saldırganların benzer taktikleri, teknikleri paylaştığına inanılıyor. ve Rusya'dan bir siber güvenlik şirketi olan Positive Technologies tarafından Ekim 2021'de tanımlanan 'ChamelGang' olarak bilinen başka bir bilgisayar korsanlığı grubuyla prosedürler.

Grubun birincil saldırı yöntemi, internete açık olan Microsoft Exchange sunucularından yararlanmayı içerir. Hedeflenen sistemlere DOORME, SIESTAGRAPH ve S hadowPad gibi arka kapılar yüklemek için bu güvenlik açığını kullanırlar. ShadowPad kullanımı, bu kötü amaçlı yazılımı daha önce çeşitli siber kampanyalarda kullanmış olan Çinli bilgisayar korsanlığı gruplarıyla olası bir bağlantıya işaret ettiği için özellikle dikkat çekicidir.

NAPLISTENER Meşru Bir Hizmet Gibi Görünüyor

REF2924 bilgisayar korsanlığı grubu, sürekli genişleyen kötü amaçlı yazılım cephaneliğine yeni bir silah ekledi. NAPLISTENER olarak bilinen ve 'wmdtc.exe' adlı bir dosya olarak dağıtılan bu yeni kötü amaçlı yazılım, kendisini yasal bir Microsoft Dağıtılmış İşlem Koordinatörü hizmeti ('msdtc.exe') olarak gizlemek için tasarlanmıştır. Bu kılık değiştirmenin amacı, tespit edilmekten kaçınmak ve hedeflenen sisteme uzun vadeli erişim elde etmektir.

NAPLISTENER, internetten gelen istekleri alabilen bir HTTP istek dinleyicisi oluşturur. Ardından gönderilen tüm verileri okur, Base64 biçiminden kodunu çözer ve bellekte yürütür. Kötü amaçlı yazılımın kodunun analizi, REF2924'ün GitHub'da barındırılan açık kaynaklı projelerden kod ödünç aldığını veya başka bir amaçla kullandığını gösteriyor. Bu, grubun siber silahlarını aktif olarak rafine edip iyileştirdiğini ve potansiyel olarak güvenlik araştırmacılarının saldırılarını tespit etmesini ve bunlara karşı savunma yapmasını daha da zorlaştırdığını gösteriyor.