El grupo de amenazas rastreado como REF2924<\/strong> Se ha observado que implementa malware nunca antes visto en sus ataques dirigidos a entidades en el sur y sureste de Asia.<\/p>\n El malware, denominado NAPLISTENER<\/a> de Elastic Security Labs, es un agente de escucha HTTP programado en C# y est\u00e1 dise\u00f1ado para evadir las “formas de detecci\u00f3n basadas en la red”.<\/p>\n REF2924 es el apodo asignado a un grupo de actividad vinculado a ataques contra una entidad en Afganist\u00e1n, as\u00ed como la Oficina de Relaciones Exteriores de un miembro de la ASEAN en 2022.<\/p>\n El modus operandi del actor de amenazas sugiere superposiciones con otro grupo de pirater\u00eda denominado ChamelGang, que fue documentado por la empresa rusa de ciberseguridad Positive Technologies en octubre de 2021.<\/p>\n Se dice que los ataques orquestados por el grupo explotaron los servidores de Microsoft Exchange expuestos a Internet para implementar puertas traseras<\/a> como DOORME, SIESTAGRAPH y ShadowPad.<\/p>\n DOORME, un m\u00f3dulo de puerta trasera de Internet Information Services (IIS), brinda acceso remoto a una red en disputa y ejecuta malware y herramientas adicionales.<\/p>\n SIESTAGRAPH emplea Microsoft API de gr\u00e1fico<\/a> para comando y control a trav\u00e9s de Outlook y OneDrive, y viene con capacidades para ejecutar comandos arbitrarios a trav\u00e9s del s\u00edmbolo del sistema, cargar y descargar archivos desde y hacia OneDrive y tomar capturas de pantalla.<\/p>\n ShadowPad es una puerta trasera modular de venta privada y un sucesor<\/a> de EnchufeX<\/a>lo que permite a los actores de amenazas mantener un acceso persistente a las computadoras comprometidas y ejecutar comandos de shell y cargas \u00fatiles de seguimiento.<\/p>\n El uso de ShadowPad es digno de menci\u00f3n, ya que indica un v\u00ednculo potencial con grupos de pirater\u00eda con sede en China, que se sabe que utilizar el malware<\/a> en varias campa\u00f1as a lo largo de los a\u00f1os.<\/p>\n A esta lista de arsenal de malware en expansi\u00f3n utilizado por REF2924 se une NAPLISTENER (“wmdtc.exe”), que se hace pasar por un servicio leg\u00edtimo Coordinador de transacciones distribuidas de Microsoft (“msdtc.exe”) en un intento de pasar desapercibido y establecer un acceso persistente.<\/p>\n Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n \u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n RESERVA TU ASIENTO<\/a><\/div>\n “NAPLISTENER crea un detector de solicitudes HTTP que puede procesar las solicitudes entrantes de Internet, lee los datos que se enviaron, los decodifica del formato Base64 y los ejecuta en la memoria”, dijo el investigador de seguridad Remco Sprooten.<\/p>\n El an\u00e1lisis del c\u00f3digo sugiere que el actor de amenazas toma prestado o reutiliza el c\u00f3digo de proyectos de c\u00f3digo abierto alojados en GitHub para desarrollar sus propias herramientas, una se\u00f1al de que REF2924 puede estar perfeccionando activamente una gran cantidad de armas cibern\u00e9ticas.<\/p>\n Los hallazgos tambi\u00e9n se producen cuando una organizaci\u00f3n vietnamita fue atacada a fines de diciembre de 2022 por una puerta trasera de Windows previamente desconocida con nombre en c\u00f3digo TUBER\u00cdA<\/a> para facilitar las actividades posteriores al compromiso y el movimiento lateral, incluido el despliegue de Cobalt Strike.<\/p>\n <\/p>\n