NAPlistENER

Gần đây, nhóm đe dọa có tên REF2924 đã nhắm mục tiêu vào nhiều thực thể khác nhau ở Nam và Đông Nam Á bằng cách sử dụng một loại phần mềm độc hại mới. Phần mềm độc hại được theo dõi là NAPLITENER và là một loại trình nghe HTTP được tạo bằng ngôn ngữ lập trình C#. NAPLITENER chưa từng được phát hiện trước đây, khiến nó trở thành một mối đe dọa phần mềm độc hại chưa từng được biết đến trước đây. Thông tin chi tiết về nó đã được công bố trong một báo cáo của các nhà nghiên cứu infosec.

NAPLISTENER dường như đã được thiết kế đặc biệt để tránh 'các hình thức phát hiện dựa trên mạng'. Điều này có nghĩa là các phương pháp phát hiện truyền thống dựa trên phân tích lưu lượng mạng có thể không hiệu quả trong việc phát hiện NAPLITENER. Điều quan trọng cần lưu ý là REF2924 có lịch sử sử dụng các chiến thuật tiên tiến và phức tạp trong các cuộc tấn công của họ. Do đó, sự phát triển mới này sẽ đóng vai trò như một lời cảnh báo cho các tổ chức ở các khu vực được nhắm mục tiêu để duy trì cảnh giác và ưu tiên các biện pháp an ninh mạng của họ để tự bảo vệ mình khỏi các cuộc tấn công tiềm ẩn của REF2924.

Nhóm tin tặc REF2924 mở rộng kho vũ khí đe dọa

Cái tên 'REF2924' dùng để chỉ một nhóm những kẻ tấn công mạng đã tham gia thực hiện các cuộc tấn công nhằm vào một mục tiêu ở Afghanistan cũng như Văn phòng Ngoại giao của một thành viên ASEAN vào năm 2022. Những kẻ tấn công này được cho là có chung chiến thuật, kỹ thuật và các thủ tục với một nhóm tấn công khác có tên là 'ChamelGang', được xác định bởi Positive Technologies, một công ty an ninh mạng của Nga, vào tháng 10 năm 2021.

Phương pháp tấn công chính của nhóm liên quan đến việc khai thác các máy chủ Microsoft Exchange được tiếp xúc với internet. Họ sử dụng lỗ hổng này để cài đặt các cửa hậu như DOORME, SIESTAGRAPH và S hadowPad trên các hệ thống được nhắm mục tiêu. Việc sử dụng ShadowPad đặc biệt đáng chú ý, vì nó cho thấy có thể có mối liên hệ với các nhóm hack Trung Quốc trước đây đã sử dụng phần mềm độc hại này trong các chiến dịch mạng khác nhau.

NAPLITENER đóng vai trò là một dịch vụ hợp pháp

Nhóm hack REF2924 đã thêm một vũ khí mới vào kho phần mềm độc hại ngày càng mở rộng của họ. Phần mềm độc hại mới này, được gọi là NAPLITENER và được triển khai dưới dạng tệp có tên 'wmdtc.exe', được thiết kế để ngụy trang dưới dạng dịch vụ Điều phối viên giao dịch phân tán hợp pháp của Microsoft ('msdtc.exe'). Mục đích của việc ngụy trang này là để tránh bị phát hiện và có quyền truy cập lâu dài vào hệ thống được nhắm mục tiêu.

NAPLITENER tạo một trình xử lý yêu cầu HTTP có thể nhận các yêu cầu đến từ internet. Sau đó, nó đọc bất kỳ dữ liệu đã gửi nào, giải mã nó từ định dạng Base64 và thực thi nó trong bộ nhớ. Phân tích mã của phần mềm độc hại cho thấy rằng REF2924 đã mượn hoặc sử dụng lại mã từ các dự án nguồn mở được lưu trữ trên GitHub. Điều này cho thấy nhóm có thể đang tích cực tinh chỉnh và cải thiện vũ khí mạng của mình, có khả năng khiến các nhà nghiên cứu bảo mật khó phát hiện và phòng thủ trước các cuộc tấn công của chúng.