El grupo de amenazas rastreado como REF2924 Se ha observado que implementa malware nunca antes visto en sus ataques dirigidos a entidades en el sur y sureste de Asia.
El malware, denominado NAPLISTENER de Elastic Security Labs, es un agente de escucha HTTP programado en C# y está diseñado para evadir las «formas de detección basadas en la red».
REF2924 es el apodo asignado a un grupo de actividad vinculado a ataques contra una entidad en Afganistán, así como la Oficina de Relaciones Exteriores de un miembro de la ASEAN en 2022.
El modus operandi del actor de amenazas sugiere superposiciones con otro grupo de piratería denominado ChamelGang, que fue documentado por la empresa rusa de ciberseguridad Positive Technologies en octubre de 2021.
Se dice que los ataques orquestados por el grupo explotaron los servidores de Microsoft Exchange expuestos a Internet para implementar puertas traseras como DOORME, SIESTAGRAPH y ShadowPad.
DOORME, un módulo de puerta trasera de Internet Information Services (IIS), brinda acceso remoto a una red en disputa y ejecuta malware y herramientas adicionales.
SIESTAGRAPH emplea Microsoft API de gráfico para comando y control a través de Outlook y OneDrive, y viene con capacidades para ejecutar comandos arbitrarios a través del símbolo del sistema, cargar y descargar archivos desde y hacia OneDrive y tomar capturas de pantalla.
ShadowPad es una puerta trasera modular de venta privada y un sucesor de EnchufeXlo que permite a los actores de amenazas mantener un acceso persistente a las computadoras comprometidas y ejecutar comandos de shell y cargas útiles de seguimiento.
El uso de ShadowPad es digno de mención, ya que indica un vínculo potencial con grupos de piratería con sede en China, que se sabe que utilizar el malware en varias campañas a lo largo de los años.
A esta lista de arsenal de malware en expansión utilizado por REF2924 se une NAPLISTENER («wmdtc.exe»), que se hace pasar por un servicio legítimo Coordinador de transacciones distribuidas de Microsoft («msdtc.exe») en un intento de pasar desapercibido y establecer un acceso persistente.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
«NAPLISTENER crea un detector de solicitudes HTTP que puede procesar las solicitudes entrantes de Internet, lee los datos que se enviaron, los decodifica del formato Base64 y los ejecuta en la memoria», dijo el investigador de seguridad Remco Sprooten.
El análisis del código sugiere que el actor de amenazas toma prestado o reutiliza el código de proyectos de código abierto alojados en GitHub para desarrollar sus propias herramientas, una señal de que REF2924 puede estar perfeccionando activamente una gran cantidad de armas cibernéticas.
Los hallazgos también se producen cuando una organización vietnamita fue atacada a fines de diciembre de 2022 por una puerta trasera de Windows previamente desconocida con nombre en código TUBERÍA para facilitar las actividades posteriores al compromiso y el movimiento lateral, incluido el despliegue de Cobalt Strike.