与称为 REF2924 的 APT 相关的 NAPLISTENER 恶意软件

最近检测到名为 REF2924 的组织使用一种新型恶意软件，Elastic 安全实验室将其命名为 NAPLISTENER。

该恶意软件是使用 C# 创建的 HTTP 侦听器，旨在逃避依赖网络分析的检测措施。 REF2924 与南亚和东南亚的多起攻击有关，包括 2022 年针对阿富汗实体和东盟成员国外交事务办公室的攻击。该组织似乎与另一个名为 ChamelGang 的黑客组织有相似之处，Positive Technologies 记录了该组织2021 年 10 月。REF2924 的攻击利用了暴露在互联网上的 Microsoft Exchange 服务器，使用了 DOORME、SIESTAGRAPH 和 ShadowPad 等后门程序。

DOORME 是一个 IIS 后门模块，可提供对有争议网络的远程访问，并允许执行其他恶意软件和工具。 SIESTAGRAPH 使用 Microsoft 的 Graph API 进行命令和控制，能够运行任意命令以及上传和下载文件。 ShadowPad 是一种私人出售的模块化后门，可以持久访问受感染的计算机并允许执行 shell 命令和有效负载。

有趣的是，ShadowPad 的使用暗示了与中国黑客组织的潜在联系，这些组织多年来一直在各种活动中使用这种恶意软件。 NAPLISTENER 现已添加到 REF2924 不断扩大的恶意软件库中，它会将自己伪装成合法服务，以避免被发现并建立持久访问。

什么是 APT 或高级持续性威胁参与者？

APT 或高级持续威胁参与者是技术精湛、资金雄厚的攻击者群体，他们使用复杂的方法在较长时间内获得对计算机网络和系统的未授权访问。与可能为了经济利益或声名狼藉而进行攻击的传统黑客不同，APT 行为者通常具有特定的政治或战略目标，例如窃取敏感数据、知识产权或机密信息。

APT 通常使用一系列技术来破坏系统，包括社会工程、鱼叉式网络钓鱼和恶意软件攻击。一旦获得访问权限，他们就会使用各种策略在网络上保持立足点，例如安装后门、创建隐藏用户帐户或利用漏洞。他们还可能使用各种高级技术来逃避检测，例如难以追踪的无文件恶意软件、加密或命令与控制 (C2) 基础设施。

APT 通常与民族国家行为者有关，尽管它们也可能被犯罪组织或其他拥有大量资源和动机的团体使用。它们可能对组织构成重大威胁，因为它们可能会长时间不被发现，从而窃取有价值的信息或对系统造成重大损害。因此，对于组织而言，了解 APT 带来的威胁并采取措施保护自己免受此类攻击非常重要。