NAPLISTENER Malware knyttet til APT Kendt som REF2924
Gruppen kendt som REF2924 er for nylig blevet opdaget ved hjælp af en ny type malware, som er blevet navngivet NAPLISTENER af Elastic Security Labs.
Malwaren er en HTTP-lytter oprettet ved hjælp af C# og er designet til at undgå registreringsforanstaltninger, der er afhængige af netværksanalyse. REF2924 har været forbundet med adskillige angreb i Syd- og Sydøstasien, herunder mod en enhed i Afghanistan og Udenrigskontoret for et ASEAN-medlem i 2022. Denne gruppe ser ud til at have ligheder med en anden hackergruppe kaldet ChamelGang, som blev dokumenteret af Positive Technologies i oktober 2021. REF2924's angreb har udnyttet internet-eksponerede Microsoft Exchange-servere ved at bruge bagdøre som DOORME, SIESTAGRAPH og ShadowPad.
DOORME er et IIS-bagdørsmodul, der giver fjernadgang til et omstridt netværk og muliggør eksekvering af yderligere malware og værktøjer. SIESTAGRAPH anvender Microsofts Graph API til kommando-og-kontrol, med evnen til at køre vilkårlige kommandoer og uploade og downloade filer. ShadowPad er en privat solgt modulær bagdør, der muliggør vedvarende adgang til kompromitterede computere og giver mulighed for udførelse af shell-kommandoer og nyttelast.
Det er interessant at bemærke, at brugen af ShadowPad antyder et potentielt link til kinesiske hackergrupper, som har brugt denne malware i forskellige kampagner gennem årene. NAPLISTENER er nu blevet tilføjet til REF2924s ekspanderende arsenal af malware, og den forklæder sig som en legitim tjeneste i et forsøg på at undgå opdagelse og etablere vedvarende adgang.
Hvad er APT'er eller Advanced Persistent Threat Actors?
APT'er, eller Advanced Persistent Threat-aktører, er højtuddannede og velfinansierede grupper af angribere, som bruger sofistikerede metoder til at få uautoriseret adgang til computernetværk og -systemer i længere perioder. I modsætning til traditionelle hackere, der kan udføre angreb for økonomisk vinding eller berømmelse, har APT-aktører ofte specifikke politiske eller strategiske mål, såsom at stjæle følsomme data, intellektuel ejendom eller fortrolig information.
APT'er bruger typisk en række teknikker til at kompromittere systemer, herunder social engineering, spear phishing og malware-angreb. Når de først har fået adgang, bruger de en række forskellige taktikker til at fastholde fodfæste på netværket, såsom at installere bagdøre, oprette skjulte brugerkonti eller udnytte sårbarheder. De kan også bruge en række avancerede teknikker til at undgå registrering, såsom filløs malware, kryptering eller kommando og kontrol (C2) infrastruktur, der er svær at spore.
APT'er er ofte forbundet med nationalstatsaktører, selvom de også kan bruges af kriminelle organisationer eller andre grupper med betydelige ressourcer og motivationer. De kan udgøre en betydelig trussel mod organisationer, da de kan være i stand til at forblive uopdaget i lange perioder, hvilket giver dem mulighed for at stjæle værdifuld information eller forårsage betydelig skade på systemer. Som sådan er det vigtigt for organisationer at være opmærksomme på truslen fra APT'er og tage skridt til at beskytte sig selv mod disse typer angreb.
