NAPLISTENER Malware koblet til APT Kjent som REF2924

Gruppen kjent som REF2924 har nylig blitt oppdaget ved hjelp av en ny type skadelig programvare, som har fått navnet NAPLISTENER av Elastic Security Labs.

Skadevaren er en HTTP-lytter opprettet ved hjelp av C# og er designet for å unngå deteksjonstiltak som er avhengige av nettverksanalyse. REF2924 har vært knyttet til flere angrep i Sør- og Sørøst-Asia, inkludert mot en enhet i Afghanistan og utenrikskontoret til et ASEAN-medlem i 2022. Denne gruppen ser ut til å ha likheter med en annen hackergruppe kalt ChamelGang, som ble dokumentert av Positive Technologies i oktober 2021. REF2924s angrep har utnyttet internetteksponerte Microsoft Exchange-servere ved å bruke bakdører som DOORME, SIESTAGRAPH og ShadowPad.

DOORME er en IIS-bakdørsmodul som gir ekstern tilgang til et omstridt nettverk og muliggjør kjøring av ytterligere skadelig programvare og verktøy. SIESTAGRAPH bruker Microsofts Graph API for kommando-og-kontroll, med muligheten til å kjøre vilkårlige kommandoer og laste opp og laste ned filer. ShadowPad er en privat solgt modulær bakdør som muliggjør vedvarende tilgang til kompromitterte datamaskiner og tillater utførelse av skallkommandoer og nyttelast.

Det er interessant å merke seg at bruken av ShadowPad antyder en potensiell kobling til kinesiske hackergrupper, som har brukt denne skadevare i forskjellige kampanjer gjennom årene. NAPLISTENER er nå lagt til REF2924s ekspanderende arsenal av skadelig programvare, og den forkledd seg som en legitim tjeneste i et forsøk på å unngå oppdagelse og etablere vedvarende tilgang.

Hva er APT-er eller avanserte vedvarende trusselaktører?

APT-er, eller Advanced Persistent Threat-aktører, er svært dyktige og velfinansierte grupper av angripere som bruker sofistikerte metoder for å få uautorisert tilgang til datanettverk og -systemer over lengre perioder. I motsetning til tradisjonelle hackere som kan utføre angrep for økonomisk vinning eller beryktethet, har APT-aktører ofte spesifikke politiske eller strategiske mål, for eksempel å stjele sensitive data, intellektuell eiendom eller konfidensiell informasjon.

APT-er bruker vanligvis en rekke teknikker for å kompromittere systemer, inkludert sosial ingeniørkunst, spyd-phishing og malware-angrep. Når de får tilgang, bruker de en rekke taktikker for å opprettholde fotfeste på nettverket, for eksempel å installere bakdører, opprette skjulte brukerkontoer eller utnytte sårbarheter. De kan også bruke en rekke avanserte teknikker for å unngå oppdagelse, for eksempel filløs skadelig programvare, kryptering eller kommando- og kontrollinfrastruktur (C2) som er vanskelig å spore.

APT er ofte knyttet til nasjonalstatlige aktører, selv om de også kan brukes av kriminelle organisasjoner eller andre grupper med betydelige ressurser og motivasjoner. De kan utgjøre en betydelig trussel for organisasjoner, siden de kan være i stand til å forbli uoppdaget i lange perioder, slik at de kan stjele verdifull informasjon eller forårsake betydelig skade på systemer. Som sådan er det viktig for organisasjoner å være klar over trusselen fra APT-er og å ta skritt for å beskytte seg mot denne typen angrep.

Innen Zaib
March 23, 2023
Malware
Norsk
March 23, 2023
Malware

Populære innlegg

Microsoft advarer statsstøttede trusselaktører bruker AI i angrep

5 days siden

Trojan Al11 Malware Deteksjon

11 months siden

Popup-vinduer "Din iCloud blir hacket" og "Din iPhone har...

7 months siden

Pinaview er en Adware-app med alle funksjoner

10 months siden

Hva er Lucky Ransomware?

7 months siden

«American Express – Oppdater kontoinformasjonen din»...

6 months siden
Norsk
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.