Logiciel malveillant NAPLISTENER lié à APT connu sous le nom de REF2924
Le groupe connu sous le nom de REF2924 a récemment été détecté en utilisant un nouveau type de malware, qui a été nommé NAPLISTENER par Elastic Security Labs.
Le logiciel malveillant est un écouteur HTTP créé à l'aide de C# et est conçu pour échapper aux mesures de détection qui reposent sur l'analyse du réseau. REF2924 a été lié à plusieurs attaques en Asie du Sud et du Sud-Est, notamment contre une entité en Afghanistan et le bureau des affaires étrangères d'un membre de l'ASEAN en 2022. Ce groupe semble avoir des similitudes avec un autre groupe de piratage appelé ChamelGang, qui a été documenté par Positive Technologies en octobre 2021. Les attaques de REF2924 ont profité des serveurs Microsoft Exchange exposés à Internet, en utilisant des portes dérobées telles que DOORME, SIESTAGRAPH et ShadowPad.
DOORME est un module de porte dérobée IIS qui fournit un accès à distance à un réseau contesté et permet l'exécution de logiciels malveillants et d'outils supplémentaires. SIESTAGRAPH utilise l'API Graph de Microsoft pour la commande et le contrôle, avec la possibilité d'exécuter des commandes arbitraires et de télécharger des fichiers. ShadowPad est une porte dérobée modulaire vendue en privé qui permet un accès persistant aux ordinateurs compromis et permet l'exécution de commandes shell et de charges utiles.
Il est intéressant de noter que l'utilisation de ShadowPad suggère un lien potentiel avec des groupes de piratage chinois, qui ont utilisé ce malware dans diverses campagnes au fil des ans. NAPLISTENER a maintenant été ajouté à l'arsenal croissant de logiciels malveillants de REF2924, et il se déguise en service légitime dans le but d'éviter la détection et d'établir un accès persistant.
Que sont les APT ou les acteurs avancés de menaces persistantes ?
Les APT, ou acteurs de menaces persistantes avancées, sont des groupes d'attaquants hautement qualifiés et bien financés qui utilisent des méthodes sophistiquées pour obtenir un accès non autorisé aux réseaux et systèmes informatiques pendant de longues périodes. Contrairement aux pirates informatiques traditionnels qui peuvent mener des attaques à des fins lucratives ou de notoriété, les acteurs APT ont souvent des objectifs politiques ou stratégiques spécifiques, tels que le vol de données sensibles, de propriété intellectuelle ou d'informations confidentielles.
Les APT utilisent généralement une gamme de techniques pour compromettre les systèmes, notamment l'ingénierie sociale, le spear phishing et les attaques de logiciels malveillants. Une fois qu'ils y ont accès, ils utilisent diverses tactiques pour garder un pied sur le réseau, comme l'installation de portes dérobées, la création de comptes d'utilisateurs cachés ou l'exploitation de vulnérabilités. Ils peuvent également utiliser diverses techniques avancées pour échapper à la détection, telles que les logiciels malveillants sans fichier, le chiffrement ou l'infrastructure de commande et de contrôle (C2) difficile à tracer.
Les APT sont souvent associées à des acteurs de l'État-nation, bien qu'elles puissent également être utilisées par des organisations criminelles ou d'autres groupes disposant de ressources et de motivations importantes. Ils peuvent constituer une menace importante pour les organisations, car ils peuvent rester non détectés pendant de longues périodes, leur permettant de voler des informations précieuses ou de causer des dommages importants aux systèmes. En tant que tel, il est important que les organisations soient conscientes de la menace posée par les APT et prennent des mesures pour se protéger contre ces types d'attaques.