Вредоносное ПО NAPLISTENER, связанное с APT, известное как REF2924

Группа, известная как REF2924, недавно была обнаружена с использованием нового типа вредоносного ПО, которое Elastic Security Labs назвало NAPLISTENER.

Вредоносная программа представляет собой прослушиватель HTTP, созданный с использованием C# и предназначенный для уклонения от мер обнаружения, основанных на сетевом анализе. REF2924 был связан с несколькими атаками в Южной и Юго-Восточной Азии, в том числе против организации в Афганистане и Министерства иностранных дел члена АСЕАН в 2022 году. Похоже, что эта группа имеет сходство с другой хакерской группой под названием ChamelGang, что было задокументировано Positive Technologies. в октябре 2021 года. В атаках REF2924 использовались открытые в Интернете серверы Microsoft Exchange с использованием таких бэкдоров, как DOORME, SIESTAGRAPH и ShadowPad.

DOORME — это модуль бэкдора IIS, который обеспечивает удаленный доступ к оспариваемой сети и позволяет запускать дополнительные вредоносные программы и инструменты. SIESTAGRAPH использует Microsoft Graph API для управления и контроля с возможностью запуска произвольных команд и загрузки и выгрузки файлов. ShadowPad — это продаваемый в частном порядке модульный бэкдор, который обеспечивает постоянный доступ к скомпрометированным компьютерам и позволяет выполнять команды оболочки и полезные данные.

Интересно отметить, что использование ShadowPad предполагает возможную связь с китайскими хакерскими группами, которые на протяжении многих лет использовали это вредоносное ПО в различных кампаниях. NAPLISTENER теперь добавлен к расширяющемуся арсеналу вредоносных программ REF2924, и он маскируется под законный сервис, чтобы избежать обнаружения и установить постоянный доступ.

Что такое APT или субъекты продвинутых постоянных угроз?

APT, или субъекты Advanced Persistent Threat, представляют собой высококвалифицированные и хорошо финансируемые группы злоумышленников, которые используют изощренные методы для получения несанкционированного доступа к компьютерным сетям и системам в течение продолжительных периодов времени. В отличие от традиционных хакеров, которые могут проводить атаки для получения финансовой выгоды или известности, участники APT часто преследуют определенные политические или стратегические цели, такие как кража конфиденциальных данных, интеллектуальной собственности или конфиденциальной информации.

APT обычно используют ряд методов для компрометации систем, включая социальную инженерию, целевой фишинг и атаки вредоносных программ. Получив доступ, они используют различные тактики, чтобы закрепиться в сети, такие как установка бэкдоров, создание скрытых учетных записей пользователей или использование уязвимостей. Они также могут использовать различные передовые методы, чтобы избежать обнаружения, такие как бесфайловое вредоносное ПО, шифрование или инфраструктура управления и контроля (C2), которую трудно отследить.

APT часто связаны с национальными государственными субъектами, хотя они также могут использоваться преступными организациями или другими группами со значительными ресурсами и мотивами. Они могут представлять серьезную угрозу для организаций, поскольку могут оставаться незамеченными в течение длительного периода времени, что позволяет им украсть ценную информацию или нанести значительный ущерб системам. Таким образом, организациям важно знать об угрозе, исходящей от APT, и предпринимать шаги для защиты от этих типов атак.