NAPLISTENER Malware gekoppeld aan APT Bekend als REF2924
De groep die bekend staat als REF2924 is onlangs gedetecteerd met behulp van een nieuw type malware, dat door Elastic Security Labs NAPLISTENER is genoemd.
De malware is een HTTP-luisteraar die is gemaakt met C# en is ontworpen om detectiemaatregelen te omzeilen die afhankelijk zijn van netwerkanalyse. REF2924 is in verband gebracht met verschillende aanvallen in Zuid- en Zuidoost-Azië, onder meer tegen een entiteit in Afghanistan en het ministerie van Buitenlandse Zaken van een ASEAN-lid in 2022. Deze groep lijkt overeenkomsten te vertonen met een andere hackgroep genaamd ChamelGang, die werd gedocumenteerd door Positive Technologies in oktober 2021. De aanvallen van REF2924 hebben geprofiteerd van aan het internet blootgestelde Microsoft Exchange-servers, met behulp van backdoors zoals DOORME, SIESTAGRAPH en ShadowPad.
DOORME is een IIS-achterdeurmodule die externe toegang biedt tot een betwist netwerk en de uitvoering van aanvullende malware en tools mogelijk maakt. SIESTAGRAPH maakt gebruik van Microsoft's Graph API voor command-and-control, met de mogelijkheid om willekeurige commando's uit te voeren en bestanden te uploaden en downloaden. ShadowPad is een particulier verkochte modulaire backdoor die permanente toegang tot gecompromitteerde computers mogelijk maakt en het uitvoeren van shell-commando's en payloads mogelijk maakt.
Het is interessant om op te merken dat het gebruik van ShadowPad een mogelijke link suggereert met Chinese hackgroepen, die deze malware in de loop der jaren in verschillende campagnes hebben gebruikt. NAPLISTENER is nu toegevoegd aan REF2924's groeiende arsenaal aan malware, en het vermomt zichzelf als een legitieme service in een poging om detectie te voorkomen en permanente toegang tot stand te brengen.
Wat zijn APT's of Advanced Persistent Threat Actors?
APT's, of Advanced Persistent Threat-actoren, zijn zeer bekwame en goed gefinancierde groepen aanvallers die geavanceerde methoden gebruiken om onbevoegde toegang te krijgen tot computernetwerken en -systemen voor langere tijd. In tegenstelling tot traditionele hackers die aanvallen kunnen uitvoeren voor financieel gewin of bekendheid, hebben APT-actoren vaak specifieke politieke of strategische doelstellingen, zoals het stelen van gevoelige gegevens, intellectueel eigendom of vertrouwelijke informatie.
APT's gebruiken doorgaans een reeks technieken om systemen te compromitteren, waaronder social engineering, spear phishing en malware-aanvallen. Zodra ze toegang krijgen, gebruiken ze verschillende tactieken om voet aan de grond te houden op het netwerk, zoals het installeren van backdoors, het maken van verborgen gebruikersaccounts of het misbruiken van kwetsbaarheden. Ze kunnen ook verschillende geavanceerde technieken gebruiken om detectie te omzeilen, zoals fileless malware, encryptie of command and control (C2)-infrastructuur die moeilijk te traceren is.
APT's worden vaak geassocieerd met statelijke actoren, hoewel ze ook kunnen worden gebruikt door criminele organisaties of andere groepen met aanzienlijke middelen en motivaties. Ze kunnen een aanzienlijke bedreiging vormen voor organisaties, omdat ze mogelijk lange tijd onopgemerkt kunnen blijven, waardoor ze waardevolle informatie kunnen stelen of aanzienlijke schade aan systemen kunnen toebrengen. Het is daarom belangrijk dat organisaties zich bewust zijn van de dreiging die uitgaat van APT's en maatregelen nemen om zich tegen dit soort aanvallen te beschermen.
