Κακόβουλο λογισμικό NAPLISTENER που συνδέεται με το APT Γνωστό ως REF2924
Η ομάδα που είναι γνωστή ως REF2924 εντοπίστηκε πρόσφατα χρησιμοποιώντας έναν νέο τύπο κακόβουλου λογισμικού, το οποίο ονομάστηκε NAPLISTENER από την Elastic Security Labs.
Το κακόβουλο λογισμικό είναι ένα πρόγραμμα ακρόασης HTTP που δημιουργήθηκε με χρήση C# και έχει σχεδιαστεί για να αποφεύγει μέτρα ανίχνευσης που βασίζονται στην ανάλυση δικτύου. Το REF2924 έχει συνδεθεί με πολλές επιθέσεις στη Νότια και Νοτιοανατολική Ασία, συμπεριλαμβανομένης της κατά μιας οντότητας στο Αφγανιστάν και του Γραφείου Εξωτερικών Υποθέσεων ενός μέλους της ASEAN το 2022. Αυτή η ομάδα φαίνεται να έχει ομοιότητες με μια άλλη ομάδα χάκερ που ονομάζεται ChamelGang, η οποία τεκμηριώθηκε από την Positive Technologies τον Οκτώβριο του 2021. Οι επιθέσεις του REF2924 έχουν εκμεταλλευτεί διακομιστές Microsoft Exchange που είναι εκτεθειμένοι στο διαδίκτυο, χρησιμοποιώντας κερκόπορτες όπως το DOORME, το SIESTAGRAPH και το ShadowPad.
Το DOORME είναι μια μονάδα κερκόπορτας των υπηρεσιών IIS που παρέχει απομακρυσμένη πρόσβαση σε ένα αμφισβητούμενο δίκτυο και επιτρέπει την εκτέλεση πρόσθετων κακόβουλων προγραμμάτων και εργαλείων. Το SIESTAGRAPH χρησιμοποιεί το API Graph της Microsoft για εντολές και έλεγχο, με δυνατότητα εκτέλεσης αυθαίρετων εντολών και αποστολής και λήψης αρχείων. Το ShadowPad είναι ένα δομοστοιχειωτό backdoor που πωλείται ιδιωτικά, το οποίο επιτρέπει τη μόνιμη πρόσβαση σε παραβιασμένους υπολογιστές και επιτρέπει την εκτέλεση εντολών φλοιού και ωφέλιμων φορτίων.
Είναι ενδιαφέρον να σημειωθεί ότι η χρήση του ShadowPad υποδηλώνει μια πιθανή σύνδεση με κινεζικές ομάδες hacking, οι οποίες έχουν χρησιμοποιήσει αυτό το κακόβουλο λογισμικό σε διάφορες καμπάνιες όλα αυτά τα χρόνια. Το NAPLISTENER έχει πλέον προστεθεί στο διευρυνόμενο οπλοστάσιο κακόβουλου λογισμικού του REF2924 και μεταμφιέζεται ως νόμιμη υπηρεσία σε μια προσπάθεια να αποφευχθεί ο εντοπισμός και να καθιερωθεί μόνιμη πρόσβαση.
Τι είναι τα APT ή οι προχωρημένοι έμμονοι δράστες απειλών;
Οι APT, ή οι ηθοποιοί Advanced Persistent Threat, είναι ομάδες επιτιθέμενων με υψηλή εξειδίκευση και καλά χρηματοδοτούμενες που χρησιμοποιούν εξελιγμένες μεθόδους για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε δίκτυα και συστήματα υπολογιστών για παρατεταμένες χρονικές περιόδους. Σε αντίθεση με τους παραδοσιακούς χάκερ που μπορεί να πραγματοποιήσουν επιθέσεις για οικονομικό κέρδος ή φήμη, οι φορείς APT έχουν συχνά συγκεκριμένους πολιτικούς ή στρατηγικούς στόχους, όπως η κλοπή ευαίσθητων δεδομένων, πνευματικής ιδιοκτησίας ή εμπιστευτικών πληροφοριών.
Τα APT χρησιμοποιούν συνήθως μια σειρά τεχνικών για να υπονομεύσουν συστήματα, συμπεριλαμβανομένων επιθέσεων κοινωνικής μηχανικής, ψαρέματος με δόρυ και επιθέσεων κακόβουλου λογισμικού. Μόλις αποκτήσουν πρόσβαση, χρησιμοποιούν μια ποικιλία τακτικών για να διατηρήσουν τη βάση τους στο δίκτυο, όπως η εγκατάσταση backdoors, η δημιουργία κρυφών λογαριασμών χρηστών ή η εκμετάλλευση τρωτών σημείων. Μπορούν επίσης να χρησιμοποιήσουν μια ποικιλία προηγμένων τεχνικών για να αποφύγουν τον εντοπισμό, όπως κακόβουλο λογισμικό χωρίς αρχεία, κρυπτογράφηση ή υποδομή εντολών και ελέγχου (C2) που είναι δύσκολο να εντοπιστεί.
Τα APT συχνά συνδέονται με φορείς εθνικών κρατών, αν και μπορούν επίσης να χρησιμοποιηθούν από εγκληματικές οργανώσεις ή άλλες ομάδες με σημαντικούς πόρους και κίνητρα. Μπορούν να αποτελέσουν σημαντική απειλή για τους οργανισμούς, καθώς μπορεί να παραμείνουν απαρατήρητοι για μεγάλα χρονικά διαστήματα, επιτρέποντάς τους να κλέψουν πολύτιμες πληροφορίες ή να προκαλέσουν σημαντική ζημιά στα συστήματα. Ως εκ τούτου, είναι σημαντικό για τους οργανισμούς να γνωρίζουν την απειλή που θέτουν τα APT και να λαμβάνουν μέτρα για να προστατευθούν από αυτού του είδους τις επιθέσεις.
