NAPLISTENER
Vor kurzem hat die als REF2924 bekannte Bedrohungsgruppe verschiedene Unternehmen in Süd- und Südostasien mit einer neuen Art von Malware ins Visier genommen. Die Malware wird als NAPLISTENER verfolgt und ist eine Art HTTP-Listener, der mit der Programmiersprache C# erstellt wurde. NAPLISTENER wurde bisher noch nicht gesehen, was es zu einer bisher unbekannten Malware-Bedrohung macht. Details dazu wurden in einem Bericht der Infosec-Forscher veröffentlicht.
NAPLISTENER scheint speziell entwickelt worden zu sein, um „netzwerkbasierten Formen der Erkennung“ zu entgehen. Dies bedeutet, dass herkömmliche Erkennungsmethoden, die auf der Analyse des Netzwerkverkehrs beruhen, bei der Erkennung von NAPLISTENER möglicherweise nicht effektiv sind. Es ist wichtig zu beachten, dass REF2924 in der Vergangenheit fortschrittliche und ausgeklügelte Taktiken bei seinen Angriffen verwendet hat. Daher sollte diese neue Entwicklung Organisationen in den Zielregionen als Warnung dienen, wachsam zu bleiben und ihre Cybersicherheitsmaßnahmen zu priorisieren, um sich vor potenziellen Angriffen durch REF2924 zu schützen.
Die REF2924 Hacker Group erweitert ihr Bedrohungsarsenal
Der Name „REF2924“ bezieht sich auf eine Gruppe von Cyber-Angreifern, die im Jahr 2022 an Angriffen auf ein Ziel in Afghanistan sowie auf das Außenministerium eines ASEAN-Mitglieds beteiligt waren. Es wird angenommen, dass diese Angreifer ähnliche Taktiken und Techniken teilen , und Verfahren mit einer anderen Hacking-Gruppe namens „ChamelGang“, die im Oktober 2021 von Positive Technologies, einem Cybersicherheitsunternehmen aus Russland, identifiziert wurde.
Die primäre Angriffsmethode der Gruppe besteht darin, Microsoft Exchange-Server auszunutzen, die dem Internet ausgesetzt sind. Sie nutzen diese Schwachstelle, um Hintertüren wie DOORME, SIESTAGRAPH und S hadowPad auf den Zielsystemen zu installieren. Der Einsatz von ShadowPad ist besonders bemerkenswert, da er auf eine mögliche Verbindung zu chinesischen Hackergruppen hindeutet, die diese Malware zuvor in verschiedenen Cyberkampagnen eingesetzt haben.
NAPLISTENER gibt sich als legitimer Dienst aus
Die Hackergruppe REF2924 hat ihrem ständig wachsenden Arsenal an Malware eine neue Waffe hinzugefügt. Diese neue Malware, die als NAPLISTENER bekannt ist und als Datei mit dem Namen „wmdtc.exe“ bereitgestellt wird, soll sich als legitimer Microsoft Distributed Transaction Coordinator-Dienst („msdtc.exe“) tarnen. Ziel dieser Tarnung ist es, der Entdeckung zu entgehen und sich langfristig Zugang zum Zielsystem zu verschaffen.
NAPLISTENER erstellt einen HTTP-Anfrage-Listener, der eingehende Anfragen aus dem Internet empfangen kann. Es liest dann alle übermittelten Daten, dekodiert sie aus dem Base64-Format und führt sie im Speicher aus. Die Analyse des Malware-Codes legt nahe, dass REF2924 Code von Open-Source-Projekten, die auf GitHub gehostet werden, ausgeliehen oder umfunktioniert hat. Dies deutet darauf hin, dass die Gruppe ihre Cyberwaffen möglicherweise aktiv verfeinert und verbessert, was es für Sicherheitsforscher möglicherweise noch schwieriger macht, ihre Angriffe zu erkennen und sich dagegen zu wehren.
