Malware NAPLISTENER vinculado a APT conocido como REF2924
El grupo conocido como REF2924 ha sido detectado recientemente utilizando un nuevo tipo de malware, que ha sido denominado NAPLISTENER por Elastic Security Labs.
El malware es un agente de escucha HTTP creado con C# y está diseñado para evadir las medidas de detección que se basan en el análisis de la red. REF2924 se ha relacionado con varios ataques en el sur y sudeste de Asia, incluso contra una entidad en Afganistán y la Oficina de Relaciones Exteriores de un miembro de la ASEAN en 2022. Este grupo parece tener similitudes con otro grupo de piratería llamado ChamelGang, que fue documentado por Positive Technologies. en octubre de 2021. Los ataques de REF2924 se han aprovechado de los servidores de Microsoft Exchange expuestos a Internet, utilizando puertas traseras como DOORME, SIESTAGRAPH y ShadowPad.
DOORME es un módulo de puerta trasera de IIS que proporciona acceso remoto a una red disputada y permite la ejecución de malware y herramientas adicionales. SIESTAGRAPH emplea Graph API de Microsoft para comando y control, con la capacidad de ejecutar comandos arbitrarios y cargar y descargar archivos. ShadowPad es una puerta trasera modular de venta privada que permite el acceso persistente a computadoras comprometidas y permite la ejecución de comandos de shell y cargas útiles.
Es interesante señalar que el uso de ShadowPad sugiere un vínculo potencial con los grupos de hackers chinos, que han utilizado este malware en varias campañas a lo largo de los años. NAPLISTENER ahora se ha agregado al creciente arsenal de malware de REF2924, y se disfraza como un servicio legítimo en un esfuerzo por evitar la detección y establecer un acceso persistente.
¿Qué son las APT o los actores de amenazas persistentes avanzadas?
Los APT, o actores de amenazas persistentes avanzadas, son grupos de atacantes altamente calificados y bien financiados que utilizan métodos sofisticados para obtener acceso no autorizado a redes y sistemas informáticos durante períodos prolongados. A diferencia de los piratas informáticos tradicionales que pueden realizar ataques para obtener ganancias financieras o notoriedad, los actores de APT a menudo tienen objetivos políticos o estratégicos específicos, como robar datos confidenciales, propiedad intelectual o información confidencial.
Las APT suelen utilizar una variedad de técnicas para comprometer los sistemas, incluida la ingeniería social, el phishing selectivo y los ataques de malware. Una vez que obtienen acceso, utilizan una variedad de tácticas para mantener un punto de apoyo en la red, como instalar puertas traseras, crear cuentas de usuario ocultas o explotar vulnerabilidades. También pueden usar una variedad de técnicas avanzadas para evadir la detección, como malware sin archivos, cifrado o infraestructura de comando y control (C2) que es difícil de rastrear.
Las APT a menudo se asocian con actores del estado-nación, aunque también pueden ser utilizadas por organizaciones criminales u otros grupos con recursos y motivaciones importantes. Pueden representar una amenaza significativa para las organizaciones, ya que pueden pasar desapercibidos durante largos períodos de tiempo, lo que les permite robar información valiosa o causar daños significativos a los sistemas. Como tal, es importante que las organizaciones sean conscientes de la amenaza que representan las APT y tomen medidas para protegerse contra este tipo de ataques.
