Контакты
Подписка 2024
Защищенный Linux
13 июня. Кибербезопасность предприятия и защита инфраструктуры и приложений от современных угроз
Регистрируйтесь на онлайн-конференцию!

Хакеры REF2924 меняют тактику и переходят к постоянному доступу в сети с помощью NAPLISTENER

28/03/23

hack54-Mar-28-2023-10-05-52-1508-AM

Исследователи безопасности из Elastic Security Labs обнаружили, что группировка REF2924 перешла со шпионажа на постоянный доступ внутри целевых сетей. Недавно хакеры добавили в свой арсенал новый бэкдор под названием NAPLISTENER. Об этом пишет Securitylab.

Согласно отчёту Elastic Security Labs, REF2924 нацелена на объекты в Южной и Юго-Восточной Азии с помощью NAPLISTENER.

NAPLISTENER (Wmdtc[.]exe) представляет собой бэкдор на основе C#, который выдает себя за координатор распределенных транзакций Microsoft (msdtc[.]exe), чтобы избежать обнаружения и установить постоянство в сети.

Бэкдор создает прослушиватель HTTP-запросов (Listener) для приема и обработки входящих запросов и фильтрует вредоносные команды, чтобы их можно было смешать с легитимным веб-трафиком. Кроме того, NAPLISTENER считывает отправленные данные, декодирует их и запускает в памяти.

Анализ исходного кода NAPLISTENER, в частности идентичные отладочные строки и реализация логики, указывает на то, что киберпреступники REF2924 позаимствовали коды из проекта GitHub под названием SharpMemshell.

Наряду с NAPLISTENER группа использовала несколько дополнительных инструментов во время своих недавних кампаний. Злоумышленники атакуют доступные в Интернете серверы Microsoft Exchange для развертывания нескольких бэкдоров – SIESTAGRAPH, DOORME и ShadowPad.

  • DOORME — это модуль бэкдора на основе набора IIS, который позволяет злоумышленникам удаленно получать доступ к целевой сети и развертывать больше вредоносных программ;
  • SIESTAGRAPH злоупотребляет Microsoft Graph API для связи с C2-сервером через Outlook и OneDrive. Бэкдор способен загружать и скачивать файлы в OneDrive и из него, а также выполнять произвольные команды через командную строку;
  • ShadowPad является преемником PlugX, который позволяет хакерам устанавливать постоянство, запускать сценарии оболочки на зараженных машинах и при необходимости развертывать дополнительные полезные нагрузки.

Использование проектов GitHub с открытым исходным кодом и легитимных сетевых артефактов указывает на то, что REF2924 планирует перейти к сохранению в системе и уклонению от средств безопасности. Такие атаки можно обнаружить, внедрив EDR-систему для обнаружения и изучения вредоносной активности на конечных точках.

Темы:ПреступлениякибершпионажMicrosoft ExchangeElastic Security Labs
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...