O grupo de ameaças conhecido como REF2924 foi observado implantando malware nunca antes visto em seus ataques direcionados a entidades no Sul e Sudeste da Ásia.
O malware, apelidado de NAPLISTENER pelo Elastic Security Labs, é um ouvinte HTTP programado em C# e projetado para evitar "formas de detecção baseadas em rede".
REF2924 é o nome atribuído a um cluster de atividades ligado a ataques contra uma entidade no Afeganistão, bem como o Escritório de Assuntos Exteriores de um membro da ASEAN em 2022.
O modus operandi do ator da ameaça sugere sobreposições com outro grupo de hackers chamado ChamelGang, que foi documentado pela empresa de segurança cibernética russa Positive Technologies em outubro de 2021.
Os ataques orquestrados pelo grupo são ditos terem explorado servidores Microsoft Exchange expostos à internet para implantar backdoors como DOORME, SIESTAGRAPH e ShadowPad.
DOORME, um módulo de backdoor do Internet Information Services (IIS), fornece acesso remoto a uma rede contestada e executa malware e ferramentas adicionais.
SIESTAGRAPH usa a Graph API da Microsoft para controle de comando por meio do Outlook e do OneDrive, e vem com capacidades para executar comandos arbitrários por meio do Prompt de Comando, carregar e baixar arquivos do OneDrive e tirar capturas de tela.
ShadowPad é um backdoor modular vendido privadamente e sucessor do PlugX, permitindo que atores da ameaça mantenham acesso persistente a computadores comprometidos e executem comandos shell e payloads de seguimento.
O uso de ShadowPad é notável, pois indica um possível vínculo com grupos de hackers sediados na China, que são conhecidos por utilizar o malware em várias campanhas ao longo dos anos.
Para esta lista de crescente arsenal de malware usado por REF2924 junta-se NAPLISTENER ("wmdtc.exe"), que se disfarça como um serviço legítimo do Coordenador Distribuído de Transações da Microsoft ("msdtc.exe") na tentativa de passar despercebido e estabelecer acesso persistente.
"NAPLISTENER cria um ouvinte de solicitações HTTP que pode processar solicitações recebidas da
internet, ler quaisquer dados que foram enviados, decodificá-los do formato Base64 e executá-los na memória", disse o pesquisador de segurança Remco Sprooten.
A análise do código sugere que o ator da ameaça empresta ou reutiliza o código de projetos de código aberto hospedados no GitHub para desenvolver suas próprias ferramentas, um sinal de que REF2924 pode estar ativamente aprimorando um conjunto de armas cibernéticas.
As descobertas também surgem quando uma organização vietnamita foi alvo no final de dezembro de 2022 por um backdoor do Windows anteriormente desconhecido chamado PIPEDANCE para facilitar atividades de comprometimento e movimentação lateral, incluindo a implantação de Cobalt Strike.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...