NAPLISTENER

Recientemente, el grupo de amenazas conocido como REF2924 ha estado apuntando a varias entidades en el sur y sureste de Asia utilizando un nuevo tipo de malware. El malware se rastrea como NAPLISTENER y es un tipo de escucha HTTP que se creó con el lenguaje de programación C#. NAPLISTENER no se ha visto antes, lo que lo convierte en una amenaza de malware previamente desconocida. Los detalles al respecto fueron publicados en un informe de los investigadores de infosec.

NAPLISTENER parece haber sido diseñado específicamente para evadir 'formas de detección basadas en la red'. Esto significa que los métodos de detección tradicionales que se basan en el análisis del tráfico de red pueden no ser efectivos para detectar NAPLISTENER. Es importante tener en cuenta que REF2924 tiene un historial de uso de tácticas avanzadas y sofisticadas en sus ataques. Por lo tanto, este nuevo desarrollo debería servir como una advertencia a las organizaciones en las regiones objetivo para que permanezcan alerta y prioricen sus medidas de ciberseguridad para protegerse de posibles ataques de REF2924.

El grupo de hackers REF2924 amplía su arsenal amenazante

El nombre 'REF2924' se refiere a un grupo de atacantes cibernéticos que han estado involucrados en la realización de ataques contra un objetivo en Afganistán, así como la Oficina de Asuntos Exteriores de un miembro de la ASEAN en 2022. Se cree que estos atacantes comparten tácticas y técnicas similares. , y procedimientos con otro grupo de piratería conocido como 'ChamelGang', que fue identificado por Positive Technologies, una empresa de ciberseguridad de Rusia, en octubre de 2021.

El principal método de ataque del grupo consiste en explotar los servidores de Microsoft Exchange que están expuestos a Internet. Utilizan esta vulnerabilidad para instalar puertas traseras como DOORME, SIESTAGRAPH y ShadowPad en los sistemas de destino. El uso de ShadowPad es particularmente notable, ya que sugiere una posible conexión con grupos de hackers chinos que anteriormente han usado este malware en varias campañas cibernéticas.

NAPLISTENER se hace pasar por un servicio legítimo

El grupo de piratería REF2924 ha agregado una nueva arma a su arsenal de malware en constante expansión. Este nuevo malware, conocido como NAPLISTENER e implementado como un archivo llamado 'wmdtc.exe', está diseñado para disfrazarse como un servicio legítimo del Coordinador de transacciones distribuidas de Microsoft ('msdtc.exe'). El objetivo de este disfraz es evadir la detección y obtener acceso a largo plazo al sistema de destino.

NAPLISTENER crea un detector de solicitudes HTTP que puede recibir solicitudes entrantes de Internet. Luego lee los datos enviados, los decodifica del formato Base64 y los ejecuta en la memoria. El análisis del código del malware sugiere que REF2924 tomó prestado o reutilizó el código de proyectos de código abierto alojados en GitHub. Esto indica que el grupo puede estar refinando y mejorando activamente sus armas cibernéticas, lo que podría dificultar aún más que los investigadores de seguridad detecten y se defiendan de sus ataques.