NAPLISTENER Złośliwe oprogramowanie powiązane z APT Znane jako REF2924

Grupa znana jako REF2924 została niedawno wykryta przy użyciu nowego typu złośliwego oprogramowania, które zostało nazwane NAPLISTENER przez Elastic Security Labs.

Szkodliwe oprogramowanie to odbiornik HTTP utworzony przy użyciu języka C# i ma na celu unikanie środków wykrywania, które opierają się na analizie sieci. REF2924 został powiązany z kilkoma atakami w Azji Południowej i Południowo-Wschodniej, w tym przeciwko podmiotowi w Afganistanie i Biuru Spraw Zagranicznych członka ASEAN w 2022 r. Wydaje się, że ta grupa ma podobieństwa z inną grupą hakerską o nazwie ChamelGang, co zostało udokumentowane przez Positive Technologies w październiku 2021 r. Ataki REF2924 wykorzystywały dostępne w Internecie serwery Microsoft Exchange z wykorzystaniem backdoorów, takich jak DOORME, SIESTAGRAPH i ShadowPad.

DOORME to moduł backdoora IIS, który zapewnia zdalny dostęp do spornej sieci i umożliwia uruchamianie dodatkowego złośliwego oprogramowania i narzędzi. SIESTAGRAPH wykorzystuje Graph API firmy Microsoft do dowodzenia i kontroli, z możliwością uruchamiania dowolnych poleceń oraz przesyłania i pobierania plików. ShadowPad to sprzedawany prywatnie modułowy backdoor, który umożliwia stały dostęp do zaatakowanych komputerów i pozwala na wykonywanie poleceń powłoki i ładunków.

Warto zauważyć, że użycie ShadowPada sugeruje potencjalny związek z chińskimi grupami hakerskimi, które przez lata wykorzystywały to złośliwe oprogramowanie w różnych kampaniach. NAPLISTENER został teraz dodany do rosnącego arsenału złośliwego oprogramowania REF2924 i udaje legalną usługę, aby uniknąć wykrycia i zapewnić stały dostęp.

Co to są APT lub zaawansowane trwałe czynniki zagrażające?

APT, czyli Advanced Persistent Threat, to wysoce wykwalifikowane i dobrze finansowane grupy atakujących, którzy używają wyrafinowanych metod w celu uzyskania nieautoryzowanego dostępu do sieci i systemów komputerowych na dłuższy czas. W przeciwieństwie do tradycyjnych hakerów, którzy mogą przeprowadzać ataki w celu uzyskania korzyści finansowych lub rozgłosu, aktorzy APT często mają określone cele polityczne lub strategiczne, takie jak kradzież poufnych danych, własności intelektualnej lub informacji poufnych.

APT zazwyczaj wykorzystują szereg technik do naruszania bezpieczeństwa systemów, w tym socjotechnikę, spear phishing i ataki złośliwego oprogramowania. Po uzyskaniu dostępu stosują różne taktyki, aby utrzymać przyczółek w sieci, takie jak instalowanie tylnych drzwi, tworzenie ukrytych kont użytkowników lub wykorzystywanie luk w zabezpieczeniach. Mogą również korzystać z różnych zaawansowanych technik, aby uniknąć wykrycia, takich jak bezplikowe złośliwe oprogramowanie, szyfrowanie lub trudna do wyśledzenia infrastruktura dowodzenia i kontroli (C2).

APT są często kojarzone z podmiotami z państw narodowych, chociaż mogą być również wykorzystywane przez organizacje przestępcze lub inne grupy posiadające znaczne zasoby i motywacje. Mogą stanowić poważne zagrożenie dla organizacji, ponieważ mogą pozostać niewykryte przez długi czas, co pozwala im na kradzież cennych informacji lub spowodowanie znacznych szkód w systemach. W związku z tym ważne jest, aby organizacje były świadome zagrożenia stwarzanego przez APT i podejmowały kroki w celu ochrony przed tego typu atakami.