REF2924 として知られる APT にリンクされた NAPLISTENER マルウェア
REF2924 として知られるグループは、Elastic Security Labs によって NAPLISTENER と命名された新しいタイプのマルウェアを使用して最近検出されました。
このマルウェアは、C# を使用して作成された HTTP リスナーであり、ネットワーク分析に依存する検出手段を回避するように設計されています。 REF2924 は、2022 年にアフガニスタンの組織や ASEAN 加盟国の外務局に対する攻撃を含む、南アジアおよび東南アジアでの複数の攻撃に関連しています。 REF2924 の攻撃は、DOORME、SIESTAGRAPH、ShadowPad などのバックドアを使用して、インターネットに公開されている Microsoft Exchange サーバーを利用しています。
DOORME は、競合するネットワークへのリモート アクセスを提供し、追加のマルウェアやツールの実行を可能にする IIS バックドア モジュールです。 SIESTAGRAPH は、コマンド アンド コントロールに Microsoft の Graph API を採用しており、任意のコマンドを実行したり、ファイルをアップロードおよびダウンロードしたりできます。 ShadowPad は、侵害されたコンピューターへの永続的なアクセスを可能にし、シェル コマンドとペイロードの実行を可能にする、個人的に販売されたモジュラー バックドアです。
興味深いことに、ShadowPad の使用は、長年にわたってさまざまなキャンペーンでこのマルウェアを使用してきた中国のハッキング グループとの潜在的なつながりを示唆しています。 NAPLISTENER は現在、REF2924 の拡大するマルウェアの武器に追加されており、検出を回避して永続的なアクセスを確立するために、正規のサービスに偽装しています。
APT または高度な持続的脅威アクターとは?
APT (Advanced Persistent Threat Actor) は、巧妙な手法を使用してコンピュータ ネットワークやシステムへの不正アクセスを長期間にわたって行う、高度なスキルと十分な資金を備えた攻撃者のグループです。金銭的利益や悪評を得るために攻撃を実行する可能性のある従来のハッカーとは異なり、APT アクターは、機密データ、知的財産、または機密情報の窃盗など、特定の政治的または戦略的目的を持っていることがよくあります。
APT は通常、ソーシャル エンジニアリング、スピア フィッシング、マルウェア攻撃など、さまざまな手法を使用してシステムを侵害します。アクセスを取得すると、バックドアのインストール、非表示のユーザー アカウントの作成、脆弱性の悪用など、さまざまな戦術を使用してネットワーク上の足がかりを維持します。また、追跡が困難なファイルレス マルウェア、暗号化、コマンド アンド コントロール (C2) インフラストラクチャなど、さまざまな高度な手法を使用して検出を回避することもあります。
APT は多くの場合、国家のアクターと関連付けられていますが、重要なリソースと動機を持つ犯罪組織やその他のグループによって使用されることもあります。それらは組織に重大な脅威をもたらす可能性があります。長期間検出されずにいる可能性があり、貴重な情報を盗んだり、システムに重大な損害を与えたりする可能性があるからです。そのため、組織は APT によってもたらされる脅威を認識し、この種の攻撃から身を守るための措置を講じることが重要です。