Il gruppo di minacce conosciuto come REF2924 è stato osservato mentre utilizzava un malware precedentemente sconosciuto, denominato NAPLISTENER, nei suoi attacchi rivolti a entità del Sud e del Sud-est asiatico. Il malware, progettato per evitare forme di rilevamento basate sulla rete, aggiunge un altro strumento all’arsenale di questo gruppo di cybercriminali.
Il gruppo di minacce REF2924 è stato collegato ad attacchi contro un’entità in Afghanistan e l’Ufficio degli Affari Esteri di un membro dell’ASEAN nel 2022. Il modus operandi del gruppo presenta sovrapposizioni con un altro gruppo di hacker chiamato ChamelGang, documentato dalla società di cybersecurity russa Positive Technologies nell’ottobre 2021.
Gli attacchi orchestrati dal gruppo hanno sfruttato server Microsoft Exchange esposti su Internet per distribuire backdoor come DOORME, SIESTAGRAPH e ShadowPad. DOORME è un modulo backdoor di Internet Information Services (IIS) che fornisce accesso remoto a una rete contesa ed esegue malware e strumenti aggiuntivi. SIESTAGRAPH utilizza l’API Graph di Microsoft per il comando e il controllo tramite Outlook e OneDrive e dispone di funzionalità per eseguire comandi arbitrari tramite il prompt dei comandi, caricare e scaricare file da e verso OneDrive e acquisire screenshot.
ShadowPad è una backdoor modulare venduta privatamente e successore di PlugX, che consente agli attori delle minacce di mantenere un accesso persistente ai computer compromessi ed eseguire comandi tramite shell e payload successivi. L’uso di ShadowPad è degno di nota in quanto indica un possibile collegamento con gruppi di hacker cinesi, noti per utilizzare il malware in varie campagne negli anni.
Al crescente arsenale di malware utilizzato da REF2924 si aggiunge ora NAPLISTENER (alias “wmdtc.exe”), che si finge un legittimo servizio Microsoft Distributed Transaction Coordinator (“msdtc.exe”) nel tentativo di passare inosservato e stabilire un accesso persistente.
Il ricercatore di sicurezza Remco Sprooten ha affermato che “NAPLISTENER crea un listener di richieste HTTP in grado di elaborare richieste in arrivo da Internet, leggere eventuali dati inviati, decodificarli dal formato Base64 ed eseguirli
