Хакеры REF2924 меняют тактику и переходят к постоянному доступу в сети с помощью NAPLISTENER

ShadowPad PlugX Microsoft Microsoft Exchange NAPLISTENER HTTP MSDTC REF2924 Elastic Security Labs SIESTAGRAPH DOORME EDR GitHub
Хакеры REF2924 меняют тактику и переходят к постоянному доступу в сети с помощью NAPLISTENER
ShadowPad PlugX Microsoft Microsoft Exchange NAPLISTENER HTTP MSDTC REF2924 Elastic Security Labs SIESTAGRAPH DOORME EDR GitHub

Киберпреступники используют код открытых проектов для создания скрытого бэкдора.

image
Исследователи безопасности из Elastic Security Labs обнаружили, что группировка REF2924 перешла со шпионажа на постоянный доступ внутри целевых сетей. Недавно хакеры добавили в свой арсенал новый бэкдор под названием NAPLISTENER.

Согласно отчёту Elastic Security Labs, REF2924 нацелена на объекты в Южной и Юго-Восточной Азии с помощью NAPLISTENER.

NAPLISTENER (Wmdtc[.]exe) представляет собой бэкдор на основе C#, который выдает себя за координатор распределенных транзакций Microsoft (msdtc[.]exe), чтобы избежать обнаружения и установить постоянство в сети.

Бэкдор создает прослушиватель HTTP-запросов (Listener) для приема и обработки входящих запросов и фильтрует вредоносные команды, чтобы их можно было смешать с легитимным веб-трафиком. Кроме того, NAPLISTENER считывает отправленные данные, декодирует их и запускает в памяти.

Анализ исходного кода NAPLISTENER, в частности идентичные отладочные строки и реализация логики, указывает на то, что киберпреступники REF2924 позаимствовали коды из проекта GitHub под названием SharpMemshell .

Наряду с NAPLISTENER группа использовала несколько дополнительных инструментов во время своих недавних кампаний. Злоумышленники атакуют доступные в Интернете серверы Microsoft Exchange для развертывания нескольких бэкдоров – SIESTAGRAPH, DOORME и ShadowPad.

  • DOORME — это модуль бэкдора на основе набора IIS, который позволяет злоумышленникам удаленно получать доступ к целевой сети и развертывать больше вредоносных программ;
  • SIESTAGRAPH злоупотребляет Microsoft Graph API для связи с C2-сервером через Outlook и OneDrive. Бэкдор способен загружать и скачивать файлы в OneDrive и из него, а также выполнять произвольные команды через командную строку;
  • ShadowPad является преемником PlugX, который позволяет хакерам устанавливать постоянство, запускать сценарии оболочки на зараженных машинах и при необходимости развертывать дополнительные полезные нагрузки.

Использование проектов GitHub с открытым исходным кодом и легитимных сетевых артефактов указывает на то, что REF2924 планирует перейти к сохранению в системе и уклонению от средств безопасности. Такие атаки можно обнаружить, внедрив EDR-систему для обнаружения и изучения вредоносной активности на конечных точках.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!