Согласно отчёту
Elastic Security Labs, REF2924 нацелена на объекты в Южной и Юго-Восточной Азии с помощью NAPLISTENER.
NAPLISTENER (Wmdtc[.]exe) представляет собой бэкдор на основе C#, который выдает себя за координатор распределенных транзакций Microsoft (msdtc[.]exe), чтобы избежать обнаружения и установить постоянство в сети.
Бэкдор создает прослушиватель HTTP (англ. HyperText Transfer Protocol — «протокол передачи гипертекста») — протокол прикладного уровня передачи данных, изначально — в виде гипертекстовых документов в формате HTML (т.е. документов, которые могут содержать ссылки, позволяющие переход к другим документам), в настоящее время используется для передачи произвольных данных.
» data-html=»true» data-original-title=»HTTP»>HTTP-запросов (Listener) для приема и обработки входящих запросов и фильтрует вредоносные команды, чтобы их можно было смешать с легитимным веб-трафиком. Кроме того, NAPLISTENER считывает отправленные данные, декодирует их и запускает в памяти.
Анализ исходного кода NAPLISTENER, в частности идентичные отладочные строки и реализация логики, указывает на то, что киберпреступники REF2924 позаимствовали коды из проекта GitHub под названием SharpMemshell .
Наряду с NAPLISTENER группа использовала несколько дополнительных инструментов во время своих недавних кампаний. Злоумышленники атакуют доступные в Интернете серверы Microsoft Exchange для развертывания нескольких бэкдоров – SIESTAGRAPH, DOORME и ShadowPad — это бэкдор, используемый хакерами для проникновения в целевую систему и удаленного управления ею. Бэкдор позволяет злоумышленникам получить полный доступ к скомпрометированной системе, похищать конфиденциальные данные, отслеживать действия пользователей и выполнять произвольные команды. ShadowPad был связан с несколькими громкими кибератаками, включая атаку на цепочку поставок SolarWinds в 2020 году.
» data-html=»true» data-original-title=»ShadowPad»>ShadowPad.
- DOORME
— это модуль бэкдора на основе набора IIS, который позволяет злоумышленникам удаленно получать доступ к целевой сети и развертывать больше вредоносных программ; - SIESTAGRAPH
злоупотребляет Microsoft Graph API для связи с C2-сервером через Outlook и OneDrive. Бэкдор способен загружать и скачивать файлы в OneDrive и из него, а также выполнять произвольные команды через командную строку; - ShadowPad
является преемником PlugX — это троян удаленного доступа (RAT), который позволяет злоумышленникам удаленно управлять компьютером жертвы. PlugX позволяет красть конфиденциальную информацию и часто используется APT-группами для шпионажа и целевых атак. Троян известен своим скрытным поведением, что позволяет ему избегать обнаружения традиционными антивирусными решениями.