NAPLISTENER

最近、REF2924 として知られる脅威グループが、新しいタイプのマルウェアを使用して、南および東南アジアのさまざまなエンティティを標的にしています。このマルウェアは NAPLISTENER として追跡されており、プログラミング言語 C# を使用して作成された HTTP リスナーの一種です。 NAPLISTENER はこれまで確認されたことがないため、これまで知られていなかったマルウェアの脅威となっています。その詳細は、infosec の研究者によるレポートで公開されました。

NAPLISTENER は、「ネットワークベースの検知」を回避するために特別に設計されたようです。これは、ネットワーク トラフィック分析に依存する従来の検出方法では、NAPLISTENER の検出に効果的でない可能性があることを意味します。 REF2924 には、攻撃において高度で洗練された戦術を使用してきた歴史があることに注意することが重要です。したがって、この新しい開発は、対象地域の組織に対して、警戒を怠らず、REF2924 による潜在的な攻撃から身を守るためのサイバーセキュリティ対策を優先するよう警告するものです。

REF2924 ハッカー グループが脅威の武器を拡大

「REF2924」という名前は、2022 年にアフガニスタンと ASEAN 加盟国の外務局を標的に攻撃を行ったサイバー攻撃者のグループを指します。これらの攻撃者は、同様の戦術、技術を共有していると考えられています。 、および 2021 年 10 月にロシアのサイバーセキュリティ企業である Positive Technologies によって特定された「ChamelGang」として知られる別のハッキング グループとの手続き。

このグループの主な攻撃方法は、インターネットに公開されている Microsoft Exchange サーバーを悪用することです。彼らはこの脆弱性を利用して、DOORME、SIESTAGRAPH、S hadowPadなどのバックドアを標的のシステムにインストールします。 ShadowPad の使用は特に注目に値します。これは、以前にさまざまなサイバー キャンペーンでこのマルウェアを使用した中国のハッキング グループとのつながりの可能性を示唆しているためです。

NAPLISTENER は正当なサービスを装う

REF2924 ハッキング グループは、拡大し続けるマルウェアの武器庫に新しい武器を追加しました。 NAPLISTENER として知られるこの新しいマルウェアは、「wmdtc.exe」という名前のファイルとして展開され、正規の Microsoft Distributed Transaction Coordinator サービス (「msdtc.exe」) に偽装するように設計されています。この偽装の目的は、検出を回避し、標的のシステムに長期間アクセスすることです。

NAPLISTENER は、インターネットからの着信要求を受信できる HTTP 要求リスナーを作成します。次に、送信されたデータを読み取り、Base64 形式からデコードして、メモリ内で実行します。マルウェアのコードを分析したところ、REF2924 が GitHub でホストされているオープンソース プロジェクトからコードを借用または転用したことが示唆されました。これは、このグループがサイバー兵器を積極的に改良および改良している可能性があることを示しており、セキュリティ研究者が攻撃を検出して防御することをさらに困難にしている可能性があります。