NAPLISTENER มัลแวร์ตัวใหม่จากกลุ่ม REF2924 มาพร้อมความสามารถในการหลีกเลี่ยงการตรวจจับ

นักวิจัยจาก Elastic Security Labs บริษัทด้านความปลอดภัยทางไซเบอร์ เผยแพร่รายงานการค้นพบพบมัลแวร์ตัวใหม่ในชื่อ NAPLISTENER ที่ถูกเขียนขึ้นด้วยภาษา C# มีความสามารถในการดักจับข้อมูลผ่าน HTTP รวมถึงสามารถหลีกเลี่ยงการตรวจจับจากอุปกรณ์รักษาความปลอดภัยบนเครือข่าย ซึ่งถูกใช้โดยกลุ่ม REF2924 ในการโจมตี โดยมุ่งเป้าไปที่หน่วยงานในเอเชียใต้ และเอเชียตะวันออกเฉียงใต้
REF2924 เป็นกลุ่ม Hacker ที่มีความเชื่อมโยงกับเหตุการณ์การโจมตีหน่วยงานในอัฟกานิสถาน และสำนักงานกิจการต่างประเทศของสมาชิกอาเซียนในปี 2565 ซึ่งวิธีในการโจมตีของ REF2924 มีความคล้ายคลึงกับ ChamelGang ที่ถูกค้นพบโดย Positive Technologies บริษัทด้านความปลอดภัยทางไซเบอร์ของรัสเซีย ในเดือนตุลาคม 2021

การโจมตีของกลุ่ม REF2924
การโจมตีจะเริ่มขึ้นจากการโจมตีช่องโหว่ของ Microsoft Exchange servers เพื่อติดตั้ง backdoor malware ได้แก่ DOORME, SIESTAGRAPH และ ShadowPad
DOORME เป็นแบ็คดอร์ของ Internet Information Services ( IIS ) ที่สามารถเรียกใช้คำสั่งจากระยะไกล และดาวน์โหลดเครื่องมือ และมัลแวร์เพิ่มเติม
SIESTAGRAPH เป็นแบ็คดอร์ที่ใช้ Graph API ของ Microsoft สำหรับเรียกใช้คำสั่งควบคุมผ่าน Outlook และ OneDrive, การเรียกใช้คำสั่งที่กำหนดเองผ่าน Command Prompt รวมถึงอัปโหลด และดาวน์โหลดไฟล์ไปยัง OneDrive และบันทึกภาพหน้าจอ
ShadowPad เป็นแบ็คดอร์ที่เป็นรุ่นพัฒนาต่อจาก PlugX ทำให้ Hacker สามารถแฝงตัวอยู่ในเครื่องเป้าหมายอย่างต่อเนื่อง และเรียกใช้คำสั่ง shell command รวมถึงเพย์โหลดอันตรายในเครื่องเป้าหมาย โดย ShadowPad มีความเกี่ยวข้องกับกลุ่ม Hacker สัญชาติจีน

การโจมตีของ NAPLISTENER
NAPLISTENER ("wmdtc.exe") ได้กลายเป็นมัลแวร์ตัวใหม่ที่ถูกใช้ในการโจมตีของกลุ่ม REF2924 โดยจะทำการปลอมตัวเป็นบริการ Microsoft Distributed Transaction Coordinator ("msdtc.exe") เพื่อหลีกเลี่ยงการตรวจจับ และแฝงตัวอยู่ในระบบ
โดย NAPLISTENER มีความสามารถในการดักจับ HTTP request ที่ประมวลผล request ที่เข้ามาจากอินเทอร์เน็ต การอ่านข้อมูลใด ๆ ก็ตามที่ถูกส่งเข้ามา การถอดรหัสข้อมูลในรูปแบบ Base64 และทำงานในระดับ memory ได้
จากการวิเคราะห์มัลแวร์ดังกล่าวพบว่า REF2924 ได้นำ code จาก open source projects ที่อยู่บน GitHub มาพัฒนามัลแวร์ของตนอย่างต่อเนื่อง รวมไปถึงการค้บพบในครั้งนี้เกิดขึ้นหลังจากที่องค์กรของเวียดนามได้ตกเป็นเป้าหมายการโจมตีในช่วงปลายเดือนธันวาคม 2565
โดยระบบได้ถูกโจมตีจากแบ็คดอร์ของ Windows ที่ไม่เคยถูกพบมาก่อนซึ่งมีชื่อว่า PIPEDANCE เพื่อเข้าถึงระบบ และแพร่กระจายตัวไปในระบบของเป้าหมาย รวมถึงการใช้งาน Cobalt Strike อีกด้วย

ที่มา : thehackernews