30.03.2023 | Хакеры REF2924 меняют тактику и переходят к постоянному доступу в сети с помощью NAPLISTENER |
Исследователи безопасности из Elastic Security Labs обнаружили, что группировка REF2924 перешла со шпионажа на постоянный доступ внутри целевых сетей. Недавно хакеры добавили в свой арсенал новый бэкдор под названием NAPLISTENER.
Согласно отчёту Elastic Security Labs, REF2924 нацелена на объекты в Южной и Юго-Восточной Азии с помощью NAPLISTENER. NAPLISTENER (Wmdtc[.]exe) представляет собой бэкдор на основе C#, который выдает себя за координатор распределенных транзакций Microsoft (msdtc[.]exe), чтобы избежать обнаружения и установить постоянство в сети. Бэкдор создает прослушиватель HTTP -запросов (Listener) для приема и обработки входящих запросов и фильтрует вредоносные команды, чтобы их можно было смешать с легитимным веб-трафиком. Кроме того, NAPLISTENER считывает отправленные данные, декодирует их и запускает в памяти. Анализ исходного кода NAPLISTENER, в частности идентичные отладочные строки и реализация логики, указывает на то, что киберпреступники REF2924 позаимствовали коды из проекта GitHub под названием SharpMemshell . Наряду с NAPLISTENER группа использовала несколько дополнительных инструментов во время своих недавних кампаний. Злоумышленники атакуют доступные в Интернете серверы Microsoft Exchange для развертывания нескольких бэкдоров – SIESTAGRAPH, DOORME и ShadowPad .
Использование проектов GitHub с открытым исходным кодом и легитимных сетевых артефактов указывает на то, что REF2924 планирует перейти к сохранению в системе и уклонению от средств безопасности. Такие атаки можно обнаружить, внедрив EDR -систему для обнаружения и изучения вредоносной активности на конечных точках. |
Проверить безопасность сайта