Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Nuevo malware NAPLISTENER utilizado por el grupo REF2924 para evadir la detección de red
  • Tecnología

Nuevo malware NAPLISTENER utilizado por el grupo REF2924 para evadir la detección de red

teknomers 22 de Mart de 2023 (Last updated: 22 de Mart de 2023) 3 minutes read
Nuevo malware NAPLISTENER utilizado por el grupo REF2924 para evadir


22 de marzo de 2023Ravie LakshmanánSeguridad de red / Amenaza cibernética

El grupo de amenazas rastreado como REF2924 Se ha observado que implementa malware nunca antes visto en sus ataques dirigidos a entidades en el sur y sureste de Asia.

El malware, denominado NAPLISTENER de Elastic Security Labs, es un agente de escucha HTTP programado en C# y está diseñado para evadir las “formas de detección basadas en la red”.

REF2924 es el apodo asignado a un grupo de actividad vinculado a ataques contra una entidad en Afganistán, así como la Oficina de Relaciones Exteriores de un miembro de la ASEAN en 2022.

El modus operandi del actor de amenazas sugiere superposiciones con otro grupo de piratería denominado ChamelGang, que fue documentado por la empresa rusa de ciberseguridad Positive Technologies en octubre de 2021.

Se dice que los ataques orquestados por el grupo explotaron los servidores de Microsoft Exchange expuestos a Internet para implementar puertas traseras como DOORME, SIESTAGRAPH y ShadowPad.

DOORME, un módulo de puerta trasera de Internet Information Services (IIS), brinda acceso remoto a una red en disputa y ejecuta malware y herramientas adicionales.

SIESTAGRAPH emplea Microsoft API de gráfico para comando y control a través de Outlook y OneDrive, y viene con capacidades para ejecutar comandos arbitrarios a través del símbolo del sistema, cargar y descargar archivos desde y hacia OneDrive y tomar capturas de pantalla.

ShadowPad es una puerta trasera modular de venta privada y un sucesor de EnchufeXlo que permite a los actores de amenazas mantener un acceso persistente a las computadoras comprometidas y ejecutar comandos de shell y cargas útiles de seguimiento.

El uso de ShadowPad es digno de mención, ya que indica un vínculo potencial con grupos de piratería con sede en China, que se sabe que utilizar el malware en varias campañas a lo largo de los años.

A esta lista de arsenal de malware en expansión utilizado por REF2924 se une NAPLISTENER (“wmdtc.exe”), que se hace pasar por un servicio legítimo Coordinador de transacciones distribuidas de Microsoft (“msdtc.exe”) en un intento de pasar desapercibido y establecer un acceso persistente.

SEMINARIO WEB

Descubra los peligros ocultos de las aplicaciones SaaS de terceros

¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.

RESERVA TU ASIENTO

“NAPLISTENER crea un detector de solicitudes HTTP que puede procesar las solicitudes entrantes de Internet, lee los datos que se enviaron, los decodifica del formato Base64 y los ejecuta en la memoria”, dijo el investigador de seguridad Remco Sprooten.

El análisis del código sugiere que el actor de amenazas toma prestado o reutiliza el código de proyectos de código abierto alojados en GitHub para desarrollar sus propias herramientas, una señal de que REF2924 puede estar perfeccionando activamente una gran cantidad de armas cibernéticas.

Los hallazgos también se producen cuando una organización vietnamita fue atacada a fines de diciembre de 2022 por una puerta trasera de Windows previamente desconocida con nombre en código TUBERÍA para facilitar las actividades posteriores al compromiso y el movimiento lateral, incluido el despliegue de Cobalt Strike.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Ciclista (39) murió en accidente con camión en Etten-Leur
Next: No más malos olores de los autobuses urbanos y regionales en 2026. Qbuzz usa más autobuses eléctricos

Related Stories

¿Por qué los resúmenes de reuniones generados por la IA
  • Tecnología

¿Por qué los resúmenes de reuniones generados por la IA se vuelven indispensables para los equipos de hoy?

teknomers 6 de Temmuz de 2026
Un mini-reactor nuclear impreso en 3D para alimentar los data
  • Tecnología

Un mini-reactor nuclear impreso en 3D para alimentar los data centers de IA: una primicia mundial con torio

teknomers 6 de Temmuz de 2026
El fisco francés reembolsa a Microsoft: su propio informe lo
  • Tecnología

El fisco francés reembolsa a Microsoft: su propio informe lo confirma

teknomers 6 de Temmuz de 2026

You May Have Missed

¿Por qué los resúmenes de reuniones generados por la IA
  • Tecnología

¿Por qué los resúmenes de reuniones generados por la IA se vuelven indispensables para los equipos de hoy?

teknomers 6 de Temmuz de 2026
  • General

Más de 500 muertos en el brote de Ébola en la RDC

teknomers 6 de Temmuz de 2026
Psicólogo y practicante de la "terapia con miel", un tolosano
  • salud

Psicólogo y practicante de la “terapia con miel”, un tolosano sospechoso de haber violado a dos pacientes y de haber grabado la escena: tras su arresto, sus instalaciones y su casa fueron registradas.

teknomers 6 de Temmuz de 2026
El caso Balogun, la gota que colmó el vaso en
  • Entretenimiento

El caso Balogun, la gota que colmó el vaso en la « bromance » entre Trump e Infantino

teknomers 6 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.