NAPLISTENER Malware collegato ad APT Conosciuto come REF2924
Il gruppo noto come REF2924 è stato recentemente rilevato utilizzando un nuovo tipo di malware, denominato NAPLISTENER da Elastic Security Labs.
Il malware è un listener HTTP creato utilizzando C# ed è progettato per eludere le misure di rilevamento che si basano sull'analisi della rete. REF2924 è stato collegato a diversi attacchi nel sud e nel sud-est asiatico, anche contro un'entità in Afghanistan e l'ufficio per gli affari esteri di un membro dell'ASEAN nel 2022. Questo gruppo sembra avere somiglianze con un altro gruppo di hacker chiamato ChamelGang, che è stato documentato da Positive Technologies nell'ottobre 2021. Gli attacchi di REF2924 hanno sfruttato i server Microsoft Exchange esposti a Internet, utilizzando backdoor come DOORME, SIESTAGRAPH e ShadowPad.
DOORME è un modulo backdoor IIS che fornisce l'accesso remoto a una rete contestata e consente l'esecuzione di malware e strumenti aggiuntivi. SIESTAGRAPH utilizza l'API Graph di Microsoft per il comando e il controllo, con la possibilità di eseguire comandi arbitrari e caricare e scaricare file. ShadowPad è una backdoor modulare venduta privatamente che consente l'accesso permanente ai computer compromessi e consente l'esecuzione di comandi shell e payload.
È interessante notare che l'uso di ShadowPad suggerisce un potenziale collegamento a gruppi di hacker cinesi, che hanno utilizzato questo malware in varie campagne nel corso degli anni. NAPLISTENER è stato ora aggiunto all'arsenale di malware in espansione di REF2924 e si maschera da servizio legittimo nel tentativo di evitare il rilevamento e stabilire un accesso persistente.
Cosa sono gli APT o Advanced Persistent Threat Actors?
Gli APT, o Advanced Persistent Threat, sono gruppi di aggressori altamente qualificati e ben finanziati che utilizzano metodi sofisticati per ottenere l'accesso non autorizzato a reti e sistemi di computer per lunghi periodi di tempo. A differenza degli hacker tradizionali che possono eseguire attacchi per guadagno finanziario o notorietà, gli attori APT hanno spesso obiettivi politici o strategici specifici, come il furto di dati sensibili, proprietà intellettuale o informazioni riservate.
Gli APT in genere utilizzano una serie di tecniche per compromettere i sistemi, tra cui ingegneria sociale, spear phishing e attacchi di malware. Una volta ottenuto l'accesso, usano una varietà di tattiche per mantenere un punto d'appoggio sulla rete, come l'installazione di backdoor, la creazione di account utente nascosti o lo sfruttamento delle vulnerabilità. Possono anche utilizzare una varietà di tecniche avanzate per eludere il rilevamento, come malware senza file, crittografia o infrastruttura di comando e controllo (C2) difficile da tracciare.
Le APT sono spesso associate ad attori dello stato-nazione, sebbene possano essere utilizzate anche da organizzazioni criminali o altri gruppi con risorse e motivazioni significative. Possono rappresentare una minaccia significativa per le organizzazioni, poiché potrebbero non essere rilevati per lunghi periodi di tempo, consentendo loro di rubare informazioni preziose o causare danni significativi ai sistemi. Pertanto, è importante che le organizzazioni siano consapevoli della minaccia rappresentata dagli APT e adottino misure per proteggersi da questi tipi di attacchi.