REF2924黑客组织部署新恶意软件NAPLISTENER

据观察，被追踪为REF2924的黑客组织在针对南亚和东南亚实体的攻击中部署了以前未见过的恶意软件。

该恶意软件被Elastic安全实验室命名为NAPLISTENER，是一个用C#编程的HTTP侦听器，旨在逃避“基于网络的检测形式”。

REF2924是分配给一个活动组织的绰号，该活动集群与2022年针对阿富汗实体以及东盟成员国外交事务办公室的袭击有关。

威胁行为者的作案手法表明与另一个名为ChamelGang的黑客组织重叠，俄罗斯网络安全公司Positive Technologies于2021年10月记录了该组织。

据称，该组织策划的攻击利用了暴露在互联网上的Microsoft Exchange服务器来部署DOORME、SIESTAGRAPH和ShadowPad等后门程序。

DOORME是一个互联网信息服务(IIS)后门模块，提供对有争议网络的远程访问并执行其他恶意软件和工具。

SIESTAGRAPH使用Microsoft的Graph API通过Outlook和OneDrive进行命令和控制，并具有通过命令提示符运行任意命令、从OneDrive上传和下载文件以及截屏的功能。

ShadowPad是一个私人出售的模块化后门程序，是PlugX的继任者，使威胁行为者能够保持对受感染计算机的持久访问并运行shell命令和后续有效负载。

ShadowPad的使用值得注意，因为它表明与中国黑客组织有潜在联系，众所周知，这些组织多年来在各种活动中使用该恶意软件。

在REF2924使用的这个不断扩展的恶意软件库列表中加入了NAPLISTENER（“wmdtc.exe”），它伪装成合法服务Microsoft分布式事务处理协调器（“msdtc.exe”），试图在安全软件的监控中建立持久访问。

“NAPLISTENER创建了一个HTTP请求侦听器，可以处理来自互联网的传入请求，读取提交的任何数据，将其从Base64格式解码，并在内存中执行，”安全研究员Remco Sprooten说。

代码分析表明，威胁行为者从GitHub上托管的开源项目中借用或重新利用代码来开发自己的工具，这表明REF2924可能正在积极打造大量网络武器。

调查结果发布之际，一家越南组织于2022年12月下旬成为代号为PIPEDANCE的此前不为人知的Windows后门的目标，以促进妥协后和横向移动活动，包括部署Cobalt Strike。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5255.html