听众

最近，名为 REF2924 的威胁组织一直在使用一种新型恶意软件瞄准南亚和东南亚的各种实体。该恶意软件被追踪为 NAPLISTENER，是一种使用编程语言 C# 创建的 HTTP 侦听器。 NAPLISTENER 以前从未被发现，这使其成为一种以前未知的恶意软件威胁。信息安全研究人员在一份报告中发布了有关它的详细信息。

NAPLISTENER 似乎是专门为逃避“基于网络的检测形式”而设计的。这意味着依赖于网络流量分析的传统检测方法可能无法有效检测 NAPLISTENER。值得注意的是，REF2924 在攻击中有使用先进和复杂策略的历史。因此，这一新发展应该对目标地区的组织发出警告，使其保持警惕并优先考虑其网络安全措施，以保护自己免受 REF2924 的潜在攻击。

REF2924 黑客组织扩大了其威胁武器库

“REF2924”这个名字指的是一群网络攻击者，他们在 2022 年曾参与对阿富汗的目标以及东盟成员国的外交事务办公室进行攻击。据信，这些攻击者具有相似的战术、技术，以及与另一个名为“ChamelGang”的黑客组织的程序，该组织于 2021 年 10 月被俄罗斯网络安全公司 Positive Technologies 确认。

该组织的主要攻击方法涉及利用暴露在互联网上的 Microsoft Exchange 服务器。他们利用此漏洞在目标系统上安装 DOORME、SIESTAGRAPH 和 S hadowPad等后门程序。 ShadowPad 的使用尤其值得注意，因为它表明可能与之前在各种网络活动中使用过该恶意软件的中国黑客组织有关。

NAPLISTENER 冒充合法服务

REF2924 黑客组织为其不断扩大的恶意软件库添加了一种新武器。这种名为 NAPLISTENER 的新恶意软件部署为名为“wmdtc.exe”的文件，旨在将自己伪装成合法的 Microsoft 分布式事务处理协调器服务（“msdtc.exe”）。这种伪装的目的是逃避检测并获得对目标系统的长期访问权限。

NAPLISTENER 创建一个 HTTP 请求侦听器，可以接收来自 Internet 的传入请求。然后它读取任何提交的数据，将其从 Base64 格式解码，并在内存中执行。对恶意软件代码的分析表明，REF2924 从托管在 GitHub 上的开源项目中借用或重新利用了代码。这表明该组织可能正在积极完善和改进其网络武器，这可能使安全研究人员更难检测和防御他们的攻击。