Исследователи безопасности из Elastic Security Labs обнаружили, что группировка REF2924 перешла со шпионажа на постоянный доступ внутри целевых сетей. Недавно хакеры добавили в свой арсенал новый бэкдор под названием NAPLISTENER.
Согласно отчётуElastic Security Labs, REF2924 нацелена на объекты в Южной и Юго-Восточной Азии с помощью NAPLISTENER.
NAPLISTENER (Wmdtc[.]exe) представляет собой бэкдор на основе C#, который выдает себя за координатор распределенных транзакций Microsoft (msdtc[.]exe), чтобы избежать обнаружения и установить постоянство в сети.
Бэкдор создает прослушиватель
Public Release.