NAPLISTENER rosszindulatú program, amely az APT-hez kapcsolódik, REF2924 néven

A REF2924 néven ismert csoportot a közelmúltban észlelték egy új típusú rosszindulatú program használatával, amelyet az Elastic Security Labs NAPLISTENER névre keresztelt.

A rosszindulatú program egy C# használatával létrehozott HTTP-figyelő, és célja, hogy elkerülje a hálózati elemzésen alapuló észlelési intézkedéseket. A REF2924-et számos dél- és délkelet-ázsiai támadáshoz hozták összefüggésbe, többek között egy afganisztáni entitás és egy ASEAN-tag külügyi hivatala ellen 2022-ben. Úgy tűnik, hogy ez a csoport hasonlóságot mutat egy másik ChamelGang nevű hackercsoporttal, amelyet a Positive Technologies dokumentált. 2021 októberében. A REF2924 támadásai kihasználták az internetnek kitett Microsoft Exchange szervereket, olyan hátsó ajtókat használva, mint a DOORME, a SIESTAGRAPH és a ShadowPad.

A DOORME egy IIS backdoor modul, amely távoli hozzáférést biztosít egy vitatott hálózathoz, és lehetővé teszi további rosszindulatú programok és eszközök futtatását. A SIESTAGRAPH a Microsoft Graph API-ját használja a parancs- és vezérléshez, tetszőleges parancsok futtatására, valamint fájlok feltöltésére és letöltésére. A ShadowPad egy magántulajdonban értékesített moduláris hátsó ajtó, amely folyamatos hozzáférést tesz lehetővé a kompromittált számítógépekhez, és lehetővé teszi shell-parancsok és hasznos adatok végrehajtását.

Érdekes megjegyezni, hogy a ShadowPad használata potenciális kapcsolatra utal kínai hackercsoportokkal, amelyek az évek során különféle kampányokban használták ezt a kártevőt. A NAPLISTENER most bekerült a REF2924 rosszindulatú programok bővülő arzenáljába, és legitim szolgáltatásnak álcázza magát az észlelés elkerülése és a folyamatos hozzáférés biztosítása érdekében.

Mik azok az APT-k vagy a haladó állandó fenyegetés szereplői?

Az APT-k (Advanced Persistent Threat actors) magasan képzett és jól finanszírozott támadócsoportok, akik kifinomult módszereket alkalmaznak a számítógépes hálózatokhoz és rendszerekhez való jogosulatlan hozzáféréshez huzamosabb ideig. Ellentétben a hagyományos hackerekkel, akik pénzügyi haszonszerzés vagy hírhedtség céljából hajtanak végre támadásokat, az APT szereplőinek gyakran meghatározott politikai vagy stratégiai céljaik vannak, például érzékeny adatok, szellemi tulajdon vagy bizalmas információk ellopása.

Az APT-k általában egy sor technikát alkalmaznak a rendszerek feltörésére, beleértve a szociális tervezést, a lándzsás adathalászatot és a rosszindulatú támadásokat. Miután megszerezték a hozzáférést, különféle taktikákat alkalmaznak, hogy megőrizzék lábukat a hálózaton, például hátsó ajtókat telepítenek, rejtett felhasználói fiókokat hoznak létre, vagy kihasználják a biztonsági réseket. Különféle fejlett technikákat is használhatnak az észlelés elkerülésére, például fájl nélküli rosszindulatú programokat, titkosítást vagy nehezen nyomon követhető parancs- és vezérlési (C2) infrastruktúrát.

Az APT-ket gyakran a nemzetállami szereplőkkel társítják, bár bűnszervezetek vagy egyéb jelentős erőforrásokkal és motivációkkal rendelkező csoportok is használhatják őket. Jelentős veszélyt jelenthetnek a szervezetekre, mivel hosszú ideig észrevétlenül maradhatnak, így értékes információkat lophatnak el, vagy jelentős károkat okozhatnak a rendszerekben. Ezért fontos, hogy a szervezetek tisztában legyenek az APT-k által jelentett fenyegetésekkel, és lépéseket tegyenek az ilyen típusú támadások elleni védekezés érdekében.