NAPLISTENER

Récemment, le groupe de menaces connu sous le nom de REF2924 a ciblé diverses entités en Asie du Sud et du Sud-Est en utilisant un nouveau type de malware. Le malware est suivi sous le nom de NAPLISTENER et est un type d'écouteur HTTP qui a été créé à l'aide du langage de programmation C#. NAPLISTENER n'a jamais été vu auparavant, ce qui en fait une menace malveillante jusque-là inconnue. Des détails à ce sujet ont été publiés dans un rapport des chercheurs de l'infosec.

NAPLISTENER semble avoir été conçu spécifiquement pour échapper aux « formes de détection basées sur le réseau ». Cela signifie que les méthodes de détection traditionnelles qui reposent sur l'analyse du trafic réseau peuvent ne pas être efficaces pour détecter NAPLISTENER. Il est important de noter que REF2924 a l'habitude d'utiliser des tactiques avancées et sophistiquées dans ses attaques. Par conséquent, ce nouveau développement devrait servir d'avertissement aux organisations des régions ciblées pour qu'elles restent vigilantes et priorisent leurs mesures de cybersécurité pour se protéger des attaques potentielles par REF2924.

Le groupe de hackers REF2924 étend son arsenal menaçant

Le nom 'REF2924' fait référence à un groupe de cyber-attaquants qui ont été impliqués dans la réalisation d'attaques contre une cible en Afghanistan ainsi que le bureau des affaires étrangères d'un membre de l'ASEAN en 2022. On pense que ces attaquants partagent des tactiques et des techniques similaires. , et des procédures avec un autre groupe de piratage connu sous le nom de "ChamelGang", qui a été identifié par Positive Technologies, une société de cybersécurité russe, en octobre 2021.

La principale méthode d'attaque du groupe consiste à exploiter les serveurs Microsoft Exchange qui sont exposés à Internet. Ils utilisent cette vulnérabilité pour installer des portes dérobées telles que DOORME, SIESTAGRAPH et S hadowPad sur les systèmes ciblés. L'utilisation de ShadowPad est particulièrement remarquable, car elle suggère une connexion possible avec des groupes de piratage chinois qui ont déjà utilisé ce malware dans diverses cybercampagnes.

NAPLISTENER se présente comme un service légitime

Le groupe de piratage REF2924 a ajouté une nouvelle arme à son arsenal de logiciels malveillants en constante expansion. Ce nouveau logiciel malveillant, connu sous le nom de NAPLISTENER et déployé sous la forme d'un fichier nommé "wmdtc.exe", est conçu pour se déguiser en un service légitime de coordinateur de transactions distribuées de Microsoft ("msdtc.exe"). Le but de ce déguisement est d'échapper à la détection et d'obtenir un accès à long terme au système ciblé.

NAPLISTENER crée un écouteur de requêtes HTTP qui peut recevoir des requêtes entrantes provenant d'Internet. Il lit ensuite toutes les données soumises, les décode à partir du format Base64 et les exécute en mémoire. L'analyse du code du logiciel malveillant suggère que REF2924 a emprunté ou réutilisé le code de projets open source hébergés sur GitHub. Cela indique que le groupe pourrait affiner et améliorer activement ses cyber-armes, ce qui pourrait rendre encore plus difficile pour les chercheurs en sécurité de détecter et de se défendre contre leurs attaques.