聽眾

最近，名為 REF2924 的威脅組織一直在使用一種新型惡意軟件瞄準南亞和東南亞的各種實體。該惡意軟件被追踪為 NAPLISTENER，是一種使用編程語言 C# 創建的 HTTP 偵聽器。 NAPLISTENER 以前從未被發現，這使其成為一種以前未知的惡意軟件威脅。信息安全研究人員在一份報告中發布了有關它的詳細信息。

NAPLISTENER 似乎是專門為逃避“基於網絡的檢測形式”而設計的。這意味著依賴於網絡流量分析的傳統檢測方法可能無法有效檢測 NAPLISTENER。值得注意的是，REF2924 在攻擊中有使用先進和復雜策略的歷史。因此，這一新發展應該對目標地區的組織發出警告，使其保持警惕並優先考慮其網絡安全措施，以保護自己免受 REF2924 的潛在攻擊。

REF2924 黑客組織擴大了其威脅武器庫

“REF2924”這個名字指的是一群網絡攻擊者，他們在 2022 年曾參與對阿富汗的目標以及東盟成員國的外交事務辦公室進行攻擊。據信，這些攻擊者俱有相似的戰術、技術，以及與另一個名為“ChamelGang”的黑客組織的程序，該組織於 2021 年 10 月被俄羅斯網絡安全公司 Positive Technologies 確認。

該組織的主要攻擊方法涉及利用暴露在互聯網上的 Microsoft Exchange 服務器。他們利用此漏洞在目標系統上安裝 DOORME、SIESTAGRAPH 和 S hadowPad等後門程序。 ShadowPad 的使用尤其值得注意，因為它表明可能與之前在各種網絡活動中使用過該惡意軟件的中國黑客組織有關。

NAPLISTENER 冒充合法服務

REF2924 黑客組織為其不斷擴大的惡意軟件庫添加了一種新武器。這種名為 NAPLISTENER 的新惡意軟件部署為名為“wmdtc.exe”的文件，旨在將自己偽裝成合法的 Microsoft 分佈式事務處理協調器服務（“msdtc.exe”）。這種偽裝的目的是逃避檢測並獲得對目標系統的長期訪問權限。

NAPLISTENER 創建一個 HTTP 請求偵聽器，可以接收來自 Internet 的傳入請求。然後它讀取任何提交的數據，將其從 Base64 格式解碼，並在內存中執行。對惡意軟件代碼的分析表明，REF2924 從託管在 GitHub 上的開源項目中藉用或重新利用了代碼。這表明該組織可能正在積極完善和改進其網絡武器，這可能使安全研究人員更難檢測和防禦他們的攻擊。