Grupa hakera praćena kao REF2924 primijećena je kako u svojim napadima usmjerenim na entitete u južnoj i jugoistočnoj Aziji koristi dosad neviđeni maliciozni softver.
Maliciozni softver, nazvan NAPLISTENER od strane Elastic Security Labs, je HTTP slušalac programiran u C# i dizajniran je da izbjegne “mrežne oblike detekcije”.
REF2924 je nadimak dodijeljen grupi aktivnosti povezanih s napadima na entitet u Afganistanu, kao i na Kancelariju za vanjske poslove članice ASEAN-a 2022. godine.
Modus operandi hakera sugeriše preklapanje s drugom hakerskom grupom pod nazivom ChamelGang, koju je dokumentovala ruska kompanija za kibernetičku bezbjednost Positive Technologies u oktobru 2021. godine.
Kaže se da su napadi koje je organizovala grupa iskoristili Microsoft Exchange servere izložene internetu za postavljanje backdoor-a kao što su DOORME, SIESTAGRAPH i ShadowPad.
DOORME, backdoor modul Internet Information Services (IIS), pruža daljinski pristup spornoj mreži i izvršava dodatni maliciozni softver i alate.
SIESTAGRAPH koristi Microsoft-ov Graph API za komandu i kontrolu preko Outlook-a i OneDrive-a i dolazi sa mogućnostima za pokretanje proizvoljnih komandi kroz komandnu liniju, otpremanje i preuzimanje datoteka na i sa OneDrive-a i snimanje ekrana.
ShadowPad je privatno prodan modularni backdoor i nasljednik PlugX-a, koji omogućava hakerima da zadrže uporan pristup kompromitovanim računarima i pokreću shell komande i prateći sadržaj.
Upotreba ShadowPad-a je vrijedna pažnje jer ukazuje na potencijalnu vezu s hakerskim grupama sa sjedištem u Kini, za koje se zna da koriste maliciozni softver u raznim kampanjama tokom godina.
Ovoj listi proširenog arsenala malicoznog softvera koji koristi REF2924 pridružuje se NAPLISTENER (“wmdtc.exe”), koji se maskira kao legitimni servis Microsoft Distributed Transaction Coordinator (“msdtc.exe”) u pokušaju da prođe ispod radara i uspostavi uporan pristup.
“NAPLISTENER kreira “slušač” HTTP zahtjeva koji može obraditi dolazne zahtjeve s interneta, čitati sve podatke koji su dostavljeni, dekodira ih iz Base64 formata i izvršava ih u memoriji” rekao je istraživač sigurnosti Remco Sprooten.
Analiza koda sugeriše da haker posuđuje ili prenamjenjuje kod iz projekata otvorenog koda koji se nalazi na GitHub-u kako bi razvio vlastite alate, što je znak da REF2924 možda aktivno brusi niz kibernetičkog oružja.
Nalazi takođe dolaze jer je vijetnamska organizacija krajem decembra 2022. godine bila meta ranije nepoznatog Windows backdoor-a kodnog imena PIPEDANCE kako bi se olakšale aktivnosti postkompromisnog i lateralnog kretanja, uključujući Cobalt Strike.
Izvor: The Hacker News
