Η Elastic Security Labs εντόπισε το κακόβουλο λογισμικό Naplistener που αναπτύχθηκε πρόσφατα, έναν HTTP listener γραμμένο σε C#, που χρησιμοποιείται από τον απειλητικό παράγοντα REF2924 για να κλέψει ευαίσθητα δεδομένα από στόχους σε χώρες της Νότιας και Νοτιοανατολικής Ασίας.

Σύμφωνα με μια ανάρτηση από τον ανώτερο μηχανικό έρευνας ασφαλείας της Elastic, Remco Sprooten, σε αυτήν την περιοχή του κόσμου, οι τεχνολογίες ανίχνευσης και πρόληψης που βασίζονται σε δίκτυο είναι η de facto μέθοδος για την ασφάλεια πολλών περιβαλλόντων. Αλλά το Naplistener – μαζί με άλλους νέους τύπους κακόβουλου λογισμικού που χρησιμοποιούνται από την ομάδα – εμφανίζονται “σχεδιασμένα για να αποφεύγουν τις μορφές ανίχνευσης που βασίζονται σε δίκτυο”, λέει ο Jake King, διευθυντής μηχανικής της Elastic Security.

Δείτε επίσης: Snipping Tool Windows 11: Bug εκθέτει περιεχόμενο εικόνων

Επομένως, μην κοιμάστε σε αυτή τη στρατηγική άμυνας σε βάθος.

Στις 20 Ιανουαρίου, οι ερευνητές εντόπισαν το Naplistener με τη μορφή μιας πρόσφατα δημιουργημένης υπηρεσίας των Windows που ονομάζεται Wmdtc.exe – ένα εκτελέσιμο αρχείο με όνομα πανομοιότυπο με αυτό της γνήσιας υπηρεσίας Distributed Transaction Coordinator της Microsoft. Μόλις εγκατασταθεί σε δίκτυα θυμάτων, αυτό το κακόβουλο αρχείο επέτρεπε στους απειλητικούς φορείς να έχουν πρόσβαση σε εμπιστευτικά δεδομένα που ήταν αποθηκευμένα στα συστήματά τους.

Δείτε επίσης: Hackers χρησιμοποιούν το νέο CommonMagic framework και το PowerMagic backdoor

Εστίαση στην Αποφυγή Ανίχνευσης

Το Naplistener είναι το πιο πρόσφατο σε μια σειρά νέων τύπων προσαρμοσμένου κακόβουλου λογισμικού που οι ερευνητές της Elastic παρατήρησαν ότι χρησιμοποιεί η ομάδα REF2924 στις επιθέσεις της που υποστηρίζουν μια ιδιαίτερη εστίαση στην αποφυγή ανίχνευσης βάσει δικτύου, λέει ο King. Αυτό που έχουν όλες αυτές οι νέες οικογένειες κακόβουλου λογισμικού δεν είναι μόνο ότι βασίζονται σε τεχνολογίες ανοιχτού κώδικα, αλλά και ότι χρησιμοποιούν οικεία και νόμιμα στοιχεία δικτύου για να κρύψουν τις δραστηριότητές τους.

Σε σύγκριση με άλλους κακόβουλους φορείς, η ομάδα REF2924 ξεχωρίζει για τον τρόπο με τον οποίο βασίζεται σε προσαρμοσμένο κακόβουλο λογισμικό και λαμβάνει επιπλέον προφυλάξεις ώστε η δραστηριότητά της να μην ανιχνεύεται. Στην πραγματικότητα, βλέπουμε “λιγότερο συχνά και με λιγότερη συνέπεια” τη χρήση αυτών των τεχνικών από άλλες απειλητικές ομάδες – γεγονός που μας δείχνει πόσο μεγάλη σημασία δίνει η REF2924 στο να παραμείνει κάτω από το ραντάρ για να επιτύχει.

Προσαρμοσμένο κακόβουλο λογισμικό με μια ματιά

Εκτός από το Naplistener, το οποίο μιμείται τη συμπεριφορά των Web servers σε ένα δίκτυο για να κρυφτεί, η ομάδα REF2924 χρησιμοποιεί και προσαρμοσμένο κακόβουλο λογισμικό που το Elastic Security παρακολουθεί ως SiestaGraph και Somnirecord, μεταξύ άλλων. Το πρώτο είναι αξιοσημείωτο για τη χρήση πόρων cloud της Microsoft για εντολή και έλεγχο για την αποφυγή εντοπισμού, και το δεύτερο μεταμφιέζεται ως κίνηση πρωτοκόλλου DNS

, λέει ο King.

Το Naplistener έχει τη δυνατότητα να δημιουργήσει έναν HTTP request listener που μπορεί να ανιχνεύει τις εισερχόμενες αιτήσεις από το internet, να ερμηνεύει τα δεδομένα που περιλαμβάνονται σε αυτές και να τις μετατρέπει σε μορφή Base64 πριν από την επεξεργασία τους σε μια συσκευή μνήμης. Αυτό προκύπτει από έρευνα που διεξήχθη από αξιόπιστους εμπειρογνώμονες.

Αυτό το νέο κακόβουλο λογισμικό είναι ιδιαίτερα επικίνδυνο, καθώς παρακάμπτει έξυπνα τις ανιχνεύσεις που βασίζονται στο δίκτυο και μεταμφιέζεται σε γνήσιους χρήστες του Διαδικτύου, ώστε να φαίνεται σαν κανονική διαδικτυακή κυκλοφορία. Επιπλέον, αυτή η κακοήθης δραστηριότητα θα περάσει απαρατήρητη από τα Web server log events οποιουδήποτε προσβεβλημένου ιστότοπου.

Το Naplistener χρησιμοποιεί επίσης κώδικα από δημόσια διαθέσιμα αποθετήρια για διάφορους στόχους, και φαίνεται ότι η ομάδα REF2924 δημιουργεί πρόσθετα πρωτότυπα καθώς και κώδικα παραγωγής αξιοποιώντας production-quality code.

Πηγαίνοντας πέρα ​​από την ανίχνευση σε επίπεδο δικτύου

Για να παραμείνουν ασφαλείς από το REF2024, οι επιχειρήσεις πρέπει να επικεντρωθούν σε τεχνολογίες ανίχνευσης endpoint, όπως το Endpoint Detection and Response (EDR), σύμφωνα με τον King. Δίνοντας προτεραιότητα σε αυτές τις μεθόδους έναντι των προσεγγίσεων ανίχνευσης που βασίζονται στο δίκτυο, οι οργανισμοί μπορούν να ελαχιστοποιήσουν τις πιθανότητες να γίνουν στόχος αυτής της κακόβουλης ομάδας.

Προφανώς, στην περιοχή που δραστηριοποιείται αυτή η ομάδα, οι στρατηγικές ασφάλειας για την ανίχνευση και την απόκριση τελικών σημείων (EDR) βρίσκονται ακόμη σε αρχικό στάδιο. Αυτό θέτει τους οργανισμούς ευάλωτους στο προσαρμοσμένο κακόβουλο λογισμικό που έχει εξαπολύσει αυτή η ομάδα, παρά το γεγονός ότι η EDR είναι μια καθιερωμένη στρατηγική για πολλές εταιρείες με έδρα τις ΗΠΑ.

Για να αντιμετωπιστεί το κακόβουλο λογισμικό που μπορεί να παρακάμψει την επιτήρηση βάσει δικτύου, οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο να αναπτύξουν φιλτράρισμα εξόδου για να περιορίσουν τις εξερχόμενες επικοινωνίες, όπως προτείνει ο King.

Ωστόσο, όταν ένας οργανισμός αρχίζει να φτάνει σε μεγαλύτερη κλίμακα, η προσέγγιση αυτή γίνεται πολύ πιο περίπλοκη, καθώς συνεπάγεται τη διαχείριση πολλών σημείων εξωτερικής επικοινωνίας και την επικύρωση πολλών μορφών αυθεντικής επικοινωνίας.

Πηγή πληροφοριών: darkreading.com