與稱為 REF2924 的 APT 相關的 NAPLISTENER 惡意軟件

最近檢測到名為 REF2924 的組織使用一種新型惡意軟件，Elastic 安全實驗室將其命名為 NAPLISTENER。

該惡意軟件是使用 C# 創建的 HTTP 偵聽器，旨在逃避依賴網絡分析的檢測措施。 REF2924 與南亞和東南亞的多起攻擊有關，包括 2022 年針對阿富汗實體和東盟成員國外交事務辦公室的攻擊。該組織似乎與另一個名為 ChamelGang 的黑客組織有相似之處，Positive Technologies 記錄了該組織2021 年 10 月。REF2924 的攻擊利用了暴露在互聯網上的 Microsoft Exchange 服務器，使用了 DOORME、SIESTAGRAPH 和 ShadowPad 等後門程序。

DOORME 是一個 IIS 後門模塊，可提供對有爭議網絡的遠程訪問，並允許執行其他惡意軟件和工具。 SIESTAGRAPH 使用 Microsoft 的 Graph API 進行命令和控制，能夠運行任意命令以及上傳和下載文件。 ShadowPad 是一種私人出售的模塊化後門，可以持久訪問受感染的計算機並允許執行 shell 命令和有效負載。

有趣的是，ShadowPad 的使用暗示了與中國黑客組織的潛在聯繫，這些組織多年來一直在各種活動中使用這種惡意軟件。 NAPLISTENER 現已添加到 REF2924 不斷擴大的惡意軟件庫中，它會將自己偽裝成合法服務，以避免被發現並建立持久訪問。

什麼是 APT 或高級持續性威脅參與者？

APT 或高級持續威脅參與者是技術精湛、資金雄厚的攻擊者群體，他們使用複雜的方法在較長時間內獲得對計算機網絡和系統的未授權訪問。與可能為了經濟利益或聲名狼藉而進行攻擊的傳統黑客不同，APT 行為者通常具有特定的政治或戰略目標，例如竊取敏感數據、知識產權或機密信息。

APT 通常使用一系列技術來破壞系統，包括社會工程、魚叉式網絡釣魚和惡意軟件攻擊。一旦獲得訪問權限，他們就會使用各種策略在網絡上保持立足點，例如安裝後門、創建隱藏用戶帳戶或利用漏洞。他們還可能使用各種高級技術來逃避檢測，例如難以追踪的無文件惡意軟件、加密或命令與控制 (C2) 基礎設施。

APT 通常與民族國家行為者有關，儘管它們也可能被犯罪組織或其他擁有大量資源和動機的團體使用。它們可能對組織構成重大威脅，因為它們可能會長時間不被發現，從而竊取有價值的信息或對系統造成重大損害。因此，對於組織而言，了解 APT 帶來的威脅並採取措施保護自己免受此類攻擊非常重要。