Хакеры REF2924 меняют тактику и переходят к постоянному доступу в сети с помощью NAPLISTENER
28/03/23
Исследователи безопасности из Elastic Security Labs обнаружили, что группировка REF2924 перешла со шпионажа на постоянный доступ внутри целевых сетей. Недавно хакеры добавили в свой арсенал новый бэкдор под названием NAPLISTENER. Об этом пишет Securitylab.
Согласно отчёту Elastic Security Labs, REF2924 нацелена на объекты в Южной и Юго-Восточной Азии с помощью NAPLISTENER.
NAPLISTENER (Wmdtc[.]exe) представляет собой бэкдор на основе C#, который выдает себя за координатор распределенных транзакций Microsoft (msdtc[.]exe), чтобы избежать обнаружения и установить постоянство в сети.
Бэкдор создает прослушиватель HTTP-запросов (Listener) для приема и обработки входящих запросов и фильтрует вредоносные команды, чтобы их можно было смешать с легитимным веб-трафиком. Кроме того, NAPLISTENER считывает отправленные данные, декодирует их и запускает в памяти.
Анализ исходного кода NAPLISTENER, в частности идентичные отладочные строки и реализация логики, указывает на то, что киберпреступники REF2924 позаимствовали коды из проекта GitHub под названием SharpMemshell.
Наряду с NAPLISTENER группа использовала несколько дополнительных инструментов во время своих недавних кампаний. Злоумышленники атакуют доступные в Интернете серверы Microsoft Exchange для развертывания нескольких бэкдоров – SIESTAGRAPH, DOORME и ShadowPad.
- DOORME — это модуль бэкдора на основе набора IIS, который позволяет злоумышленникам удаленно получать доступ к целевой сети и развертывать больше вредоносных программ;
- SIESTAGRAPH злоупотребляет Microsoft Graph API для связи с C2-сервером через Outlook и OneDrive. Бэкдор способен загружать и скачивать файлы в OneDrive и из него, а также выполнять произвольные команды через командную строку;
- ShadowPad является преемником PlugX, который позволяет хакерам устанавливать постоянство, запускать сценарии оболочки на зараженных машинах и при необходимости развертывать дополнительные полезные нагрузки.
Использование проектов GitHub с открытым исходным кодом и легитимных сетевых артефактов указывает на то, что REF2924 планирует перейти к сохранению в системе и уклонению от средств безопасности. Такие атаки можно обнаружить, внедрив EDR-систему для обнаружения и изучения вредоносной активности на конечных точках.