Контакты
Подписка 2024
МЕНЮ
Контакты
Подписка
Защита АСУ ТП. Безопасность КИИ
13 февраля. Комплексный подход к промышленной кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Регистрируйтесь и приходите на ТБ Форум 2024!

Хакеры REF2924 меняют тактику и переходят к постоянному доступу в сети с помощью NAPLISTENER

28/03/23

hack54-Mar-28-2023-10-05-52-1508-AM

Исследователи безопасности из Elastic Security Labs обнаружили, что группировка REF2924 перешла со шпионажа на постоянный доступ внутри целевых сетей. Недавно хакеры добавили в свой арсенал новый бэкдор под названием NAPLISTENER. Об этом пишет Securitylab.

Согласно отчёту Elastic Security Labs, REF2924 нацелена на объекты в Южной и Юго-Восточной Азии с помощью NAPLISTENER.

NAPLISTENER (Wmdtc[.]exe) представляет собой бэкдор на основе C#, который выдает себя за координатор распределенных транзакций Microsoft (msdtc[.]exe), чтобы избежать обнаружения и установить постоянство в сети.

Бэкдор создает прослушиватель HTTP-запросов (Listener) для приема и обработки входящих запросов и фильтрует вредоносные команды, чтобы их можно было смешать с легитимным веб-трафиком. Кроме того, NAPLISTENER считывает отправленные данные, декодирует их и запускает в памяти.

Анализ исходного кода NAPLISTENER, в частности идентичные отладочные строки и реализация логики, указывает на то, что киберпреступники REF2924 позаимствовали коды из проекта GitHub под названием SharpMemshell.

Наряду с NAPLISTENER группа использовала несколько дополнительных инструментов во время своих недавних кампаний. Злоумышленники атакуют доступные в Интернете серверы Microsoft Exchange для развертывания нескольких бэкдоров – SIESTAGRAPH, DOORME и ShadowPad.

  • DOORME — это модуль бэкдора на основе набора IIS, который позволяет злоумышленникам удаленно получать доступ к целевой сети и развертывать больше вредоносных программ;
  • SIESTAGRAPH злоупотребляет Microsoft Graph API для связи с C2-сервером через Outlook и OneDrive. Бэкдор способен загружать и скачивать файлы в OneDrive и из него, а также выполнять произвольные команды через командную строку;
  • ShadowPad является преемником PlugX, который позволяет хакерам устанавливать постоянство, запускать сценарии оболочки на зараженных машинах и при необходимости развертывать дополнительные полезные нагрузки.

Использование проектов GitHub с открытым исходным кодом и легитимных сетевых артефактов указывает на то, что REF2924 планирует перейти к сохранению в системе и уклонению от средств безопасности. Такие атаки можно обнаружить, внедрив EDR-систему для обнаружения и изучения вредоносной активности на конечных точках.

Темы:ПреступлениякибершпионажMicrosoft ExchangeElastic Security Labs
Доверенные отечественные ИТ-системы
15 февраля 2024. Доверенные отечественные ИТ-системы и российское ПО для госсектора и ключевых отраслей
Регистрируйтесь и приходите на ТБ Форум 2024!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Конференция ФСТЭК
14 февраля 2024. Актуальные вопросы защиты информации
Участвуйте!

Еще темы...