NAPLISTENER-Malware mit Verbindung zu APT, bekannt als REF2924
Die als REF2924 bekannte Gruppe wurde kürzlich mithilfe einer neuen Art von Malware entdeckt, die von Elastic Security Labs NAPLISTENER genannt wurde.
Die Malware ist ein HTTP-Listener, der mit C# erstellt wurde und darauf ausgelegt ist, Erkennungsmaßnahmen zu umgehen, die auf Netzwerkanalysen beruhen. REF2924 wurde mit mehreren Angriffen in Süd- und Südostasien in Verbindung gebracht, unter anderem gegen eine Einrichtung in Afghanistan und das Außenministerium eines ASEAN-Mitglieds im Jahr 2022. Diese Gruppe scheint Ähnlichkeiten mit einer anderen Hacking-Gruppe namens ChamelGang zu haben, die von Positive Technologies dokumentiert wurde im Oktober 2021. Die Angriffe von REF2924 haben sich über das Internet exponierte Microsoft Exchange-Server zunutze gemacht und Backdoors wie DOORME, SIESTAGRAPH und ShadowPad verwendet.
DOORME ist ein IIS-Backdoor-Modul, das Fernzugriff auf ein umkämpftes Netzwerk bietet und die Ausführung zusätzlicher Malware und Tools ermöglicht. SIESTAGRAPH verwendet die Graph-API von Microsoft für Command-and-Control, mit der Möglichkeit, beliebige Befehle auszuführen und Dateien hoch- und herunterzuladen. ShadowPad ist eine privat verkaufte modulare Hintertür, die den dauerhaften Zugriff auf kompromittierte Computer ermöglicht und die Ausführung von Shell-Befehlen und Payloads ermöglicht.
Es ist interessant festzustellen, dass die Verwendung von ShadowPad auf eine mögliche Verbindung zu chinesischen Hackergruppen hinweist, die diese Malware im Laufe der Jahre in verschiedenen Kampagnen eingesetzt haben. NAPLISTENER wurde nun zum wachsenden Malware-Arsenal von REF2924 hinzugefügt und tarnt sich als legitimer Dienst, um eine Entdeckung zu vermeiden und dauerhaften Zugriff zu gewährleisten.
Was sind APTs oder Advanced Persistent Threat Actors?
APTs oder Advanced Persistent Threat Actors sind hochqualifizierte und finanziell gut ausgestattete Gruppen von Angreifern, die ausgeklügelte Methoden anwenden, um sich über längere Zeit unbefugten Zugriff auf Computernetzwerke und -systeme zu verschaffen. Im Gegensatz zu traditionellen Hackern, die Angriffe aus finanziellen Gründen oder Bekanntheit ausführen, haben APT-Akteure oft spezifische politische oder strategische Ziele, wie z. B. den Diebstahl sensibler Daten, geistigen Eigentums oder vertraulicher Informationen.
APTs verwenden normalerweise eine Reihe von Techniken, um Systeme zu kompromittieren, darunter Social Engineering, Spear-Phishing und Malware-Angriffe. Sobald sie sich Zugang verschafft haben, wenden sie verschiedene Taktiken an, um im Netzwerk Fuß zu fassen, wie z. B. das Installieren von Hintertüren, das Erstellen versteckter Benutzerkonten oder das Ausnutzen von Schwachstellen. Sie können auch eine Vielzahl fortschrittlicher Techniken verwenden, um der Erkennung zu entgehen, wie z. B. dateilose Malware, Verschlüsselung oder Command-and-Control-Infrastruktur (C2), die schwer nachzuverfolgen ist.
APTs werden oft mit nationalstaatlichen Akteuren in Verbindung gebracht, obwohl sie auch von kriminellen Organisationen oder anderen Gruppen mit erheblichen Ressourcen und Motivationen genutzt werden können. Sie können eine erhebliche Bedrohung für Unternehmen darstellen, da sie möglicherweise lange Zeit unentdeckt bleiben und so wertvolle Informationen stehlen oder erhebliche Schäden an Systemen verursachen können. Daher ist es für Unternehmen wichtig, sich der Bedrohung durch APTs bewusst zu sein und Maßnahmen zu ergreifen, um sich gegen diese Art von Angriffen zu schützen.
