NAPLISTENER Malware vinculado ao APT conhecido como REF2924
O grupo conhecido como REF2924 foi recentemente detectado usando um novo tipo de malware, denominado NAPLISTENER pelo Elastic Security Labs.
O malware é um ouvinte HTTP criado usando C# e foi projetado para evitar medidas de detecção que dependem da análise de rede. O REF2924 foi associado a vários ataques no sul e sudeste da Ásia, inclusive contra uma entidade no Afeganistão e o Gabinete de Relações Exteriores de um membro da ASEAN em 2022. Esse grupo parece ter semelhanças com outro grupo de hackers chamado ChamelGang, documentado pela Positive Technologies em outubro de 2021. Os ataques do REF2924 aproveitaram os servidores Microsoft Exchange expostos à Internet, usando backdoors como DOORME, SIESTAGRAPH e ShadowPad.
DOORME é um módulo backdoor do IIS que fornece acesso remoto a uma rede contestada e permite a execução de malware e ferramentas adicionais. SIESTAGRAPH emprega Graph API da Microsoft para comando e controle, com a capacidade de executar comandos arbitrários e fazer upload e download de arquivos. O ShadowPad é um backdoor modular vendido em particular que permite o acesso persistente a computadores comprometidos e permite a execução de comandos shell e cargas úteis.
É interessante notar que o uso do ShadowPad sugere um possível vínculo com grupos de hackers chineses, que usaram esse malware em várias campanhas ao longo dos anos. O NAPLISTENER foi adicionado ao crescente arsenal de malware do REF2924 e se disfarça como um serviço legítimo em um esforço para evitar a detecção e estabelecer acesso persistente.
O que são APTs ou Agentes Avançados de Ameaças Persistentes?
APTs, ou atores de ameaças persistentes avançadas, são grupos de invasores altamente qualificados e bem financiados que usam métodos sofisticados para obter acesso não autorizado a redes e sistemas de computadores por longos períodos de tempo. Ao contrário dos hackers tradicionais, que podem realizar ataques para ganho financeiro ou notoriedade, os atores APT geralmente têm objetivos políticos ou estratégicos específicos, como roubo de dados confidenciais, propriedade intelectual ou informações confidenciais.
Os APTs normalmente usam uma variedade de técnicas para comprometer os sistemas, incluindo engenharia social, spear phishing e ataques de malware. Depois de obter acesso, eles usam várias táticas para manter uma posição na rede, como instalar backdoors, criar contas de usuário ocultas ou explorar vulnerabilidades. Eles também podem usar uma variedade de técnicas avançadas para evitar a detecção, como malware sem arquivo, criptografia ou infraestrutura de comando e controle (C2) que é difícil de rastrear.
As APTs são frequentemente associadas a atores do estado-nação, embora também possam ser usadas por organizações criminosas ou outros grupos com recursos e motivações significativas. Eles podem representar uma ameaça significativa para as organizações, pois podem permanecer indetectáveis por longos períodos de tempo, permitindo que roubem informações valiosas ou causem danos significativos aos sistemas. Como tal, é importante que as organizações estejam cientes da ameaça representada pelos APTs e tomem medidas para se proteger contra esses tipos de ataques.
