НАПЛІСТЕНЕР

Нещодавно група загроз, відома як REF2924, націлилася на різні організації в Південній та Південно-Східній Азії, використовуючи новий тип шкідливого програмного забезпечення. Зловмисне програмне забезпечення відстежується як NAPLISTENER і є типом прослуховувача HTTP, створеного за допомогою мови програмування C#. NAPLISTENER раніше не було помічено, що робить його раніше невідомою загрозою зловмисного програмного забезпечення. Подробиці про це були оприлюднені в звіті дослідників infosec.

Схоже, NAPLISTENER розроблено спеціально для ухилення від «мережевих форм виявлення». Це означає, що традиційні методи виявлення, які покладаються на аналіз мережевого трафіку, можуть бути неефективними для виявлення NAPLISTENER. Важливо відзначити, що REF2924 має історію використання передових і витончених тактик у своїх атаках. Таким чином, ця нова розробка має послужити попередженням для організацій у цільових регіонах, щоб вони залишалися пильними та приділяли пріоритет заходам кібербезпеки, щоб захистити себе від потенційних атак REF2924.

Хакерська група REF2924 розширює свій арсенал загроз

Назва «REF2924» відноситься до групи кіберзловмисників, які брали участь у здійсненні атак на ціль в Афганістані, а також на Офіс закордонних справ країни-члена АСЕАН у 2022 році. Вважається, що ці зловмисники поділяють схожі тактики та методи , а також процедури з іншою хакерською групою, відомою як ChamelGang, яку ідентифікувала Positive Technologies, компанія з кібербезпеки з Росії, у жовтні 2021 року.

Основний метод атаки групи передбачає використання серверів Microsoft Exchange, відкритих для доступу в Інтернет. Вони використовують цю вразливість для встановлення бекдорів, таких як DOORME, SIESTAGRAPH і S hadowPad , у цільових системах. Особливо примітно використання ShadowPad, оскільки це свідчить про можливий зв’язок із китайськими хакерськими групами, які раніше використовували це шкідливе програмне забезпечення в різних кібер-кампаніях.

NAPLISTENER представляє себе як законну службу

Хакерська група REF2924 додала нову зброю до свого арсеналу шкідливих програм, що постійно розширюється. Це нове зловмисне програмне забезпечення, відоме як NAPLISTENER і розгорнуте у вигляді файлу під назвою «wmdtc.exe», призначене для маскування себе під законну службу Microsoft Distributed Transaction Coordinator («msdtc.exe»). Метою цього маскування є уникнення виявлення та отримання тривалого доступу до цільової системи.

NAPLISTENER створює прослуховувач запитів HTTP, який може отримувати вхідні запити з Інтернету. Потім він зчитує будь-які надіслані дані, декодує їх із формату Base64 і виконує в пам’яті. Аналіз коду зловмисного ПЗ свідчить про те, що REF2924 запозичив або перепрофільував код із проектів з відкритим кодом, розміщених на GitHub. Це вказує на те, що група може активно вдосконалювати та вдосконалювати свою кіберзброю, потенційно ускладнюючи виявлення атак дослідникам безпеки та захист від них.