NAPLISTENER kenkėjiška programa, susieta su APT, žinoma kaip REF2924

Grupė, žinoma kaip REF2924, neseniai buvo aptikta naudojant naujo tipo kenkėjiškas programas, kurias Elastic Security Labs pavadino NAPLISTENER.

Kenkėjiška programa yra HTTP klausytojas, sukurtas naudojant C# ir skirtas išvengti aptikimo priemonių, kurios priklauso nuo tinklo analizės. REF2924 buvo siejamas su keletu išpuolių Pietų ir Pietryčių Azijoje, įskaitant prieš subjektą Afganistane ir ASEAN narės Užsienio reikalų biurą 2022 m. Atrodo, kad ši grupė turi panašumų su kita programišių grupe ChamelGang, kurią užfiksavo Positive Technologies. 2021 m. spalio mėn. REF2924 atakos pasinaudojo interneto veikiamais „Microsoft Exchange“ serveriais, naudojant užpakalines duris, tokias kaip DOORME, SIESTAGRAPH ir ShadowPad.

DOORME yra IIS galinių durų modulis, suteikiantis nuotolinę prieigą prie ginčijamo tinklo ir leidžiantis vykdyti papildomas kenkėjiškas programas bei įrankius. SIESTAGRAPH naudoja Microsoft Graph API komandoms ir valdymui, su galimybe paleisti savavališkas komandas ir įkelti bei atsisiųsti failus. „ShadowPad“ yra privačiai parduodamos modulinės užpakalinės durys, suteikiančios nuolatinę prieigą prie pažeistų kompiuterių ir leidžiančios vykdyti apvalkalo komandas bei naudingąsias apkrovas.

Įdomu pastebėti, kad „ShadowPad“ naudojimas rodo galimą ryšį su Kinijos įsilaužimo grupėmis, kurios daugelį metų naudojo šią kenkėjišką programą įvairiose kampanijose. NAPLISTENER dabar buvo įtrauktas į besiplečiantį REF2924 kenkėjiškų programų arsenalą ir užmaskuojamas kaip teisėta paslauga, siekiant išvengti aptikimo ir užtikrinti nuolatinę prieigą.

Kas yra APT arba pažengę nuolatinės grėsmės veikėjai?

APT arba Advanced Persistent Threat aktoriai yra aukštos kvalifikacijos ir gerai finansuojamos užpuolikų grupės, kurios naudoja sudėtingus metodus, kad gautų neteisėtą prieigą prie kompiuterių tinklų ir sistemų ilgą laiką. Skirtingai nuo tradicinių įsilaužėlių, kurie gali vykdyti atakas siekdami finansinės naudos ar žinomumo, APT veikėjai dažnai turi konkrečių politinių ar strateginių tikslų, tokių kaip slaptų duomenų, intelektinės nuosavybės ar konfidencialios informacijos vagystė.

APT paprastai naudoja daugybę metodų, kad pakenktų sistemoms, įskaitant socialinę inžineriją, sukčiavimą ir kenkėjiškų programų atakas. Gavę prieigą, jie naudojasi įvairiomis taktikomis, kad įsitvirtintų tinkle, pavyzdžiui, įdiegia užpakalines duris, kuria paslėptas vartotojų paskyras arba išnaudoja pažeidžiamumą. Jie taip pat gali naudoti įvairius pažangius metodus, kad išvengtų aptikimo, pvz., kenkėjiškų programų be failų, šifravimą arba komandų ir valdymo (C2) infrastruktūrą, kurią sunku atsekti.

APT dažnai siejami su nacionalinės valstybės veikėjais, nors jais gali naudotis ir nusikalstamos organizacijos ar kitos grupės, turinčios didelius išteklius ir motyvus. Jie gali kelti didelę grėsmę organizacijoms, nes gali likti nepastebėti ilgą laiką, todėl gali pavogti vertingą informaciją arba padaryti didelę žalą sistemoms. Todėl organizacijoms svarbu žinoti apie APT keliamą grėsmę ir imtis veiksmų, kad apsisaugotų nuo tokio pobūdžio atakų.