أطلقت مجموعة 'Worok' الغامضة جهودًا للتجسس باستخدام رمز غامض ، وأدوات خاصة بذكاء بيانات PlatoBlockchain. البحث العمودي. عاي.

أطلقت مجموعة "وروك" الغامضة جهود التجسس باستخدام كود غامض وأدوات خاصة

الطابع الزمني: 6 سبتمبر 2022 ، الساعة 4:44 مساءً

تستخدم مجموعة تجسس إلكتروني جديدة نسبيًا ترسانة مخصصة مثيرة للاهتمام من الأدوات والتقنيات لتهديد الشركات والحكومات في جنوب شرق آسيا والشرق الأوسط وجنوب إفريقيا ، بهجمات تهدف إلى جمع المعلومات الاستخبارية من المنظمات المستهدفة.

وفقًا لتحليل نشرته يوم الثلاثاء شركة الأمن السيبراني ESET ، فإن السمة المميزة للمجموعة ، والتي يطلق عليها اسم Worok ، هي استخدامها لأدوات مخصصة لم نشهدها في هجمات أخرى ، والتركيز على أهداف في جنوب شرق آسيا ، وأوجه التشابه التشغيلية مع الصين- مجموعة TA428 المرتبطة.

في عام 2020 ، هاجمت المجموعة شركات الاتصالات والهيئات الحكومية والشركات البحرية في المنطقة قبل أن تأخذ استراحة استمرت أشهر. استأنفت عملياتها في بداية عام 2022.

ESET أصدر الاستشارة على المجموعة لأن باحثي الشركة لم يروا العديد من الأدوات التي تستخدمها أي مجموعة أخرى ، كما يقول ثيبوت باسيلي ، باحث البرامج الضارة في ESET ومؤلف التحليل.

يقول: "Worok هي مجموعة تستخدم أدوات حصرية وجديدة لسرقة البيانات - أهدافها عالمية وتشمل الشركات الخاصة ، والكيانات العامة ، وكذلك المؤسسات الحكومية". "استخدامهم لتقنيات التشويش المختلفة ، وخاصة علم إخفاء المعلومات ، يجعلها فريدة حقًا."

مجموعة أدوات Worok المخصصة

تستفيد Worok من الاتجاه الأحدث للمهاجمين الذين يستخدمون خدمات المجرمين الإلكترونيين وأدوات الهجوم السلعي حيث ازدهرت هذه العروض على شبكة الويب المظلمة. يقدم الوكيل كخدمة EvilProxy ، على سبيل المثال ، يسمح لهجمات التصيد الاحتيالي بتجاوز أساليب المصادقة الثنائية من خلال التقاط المحتوى وتعديله أثناء التنقل. تخصصت مجموعات أخرى في خدمات محددة مثل وسطاء الوصول الأولي، والتي تسمح للمجموعات التي ترعاها الدولة ومجرمي الإنترنت بتسليم الحمولات إلى الأنظمة التي تم اختراقها بالفعل.

تتكون مجموعة أدوات Worok بدلاً من ذلك من مجموعة داخلية. يتضمن محمل CLRLoad C ++ ؛ الباب الخلفي PowHeartBeat PowerShell ؛ ومحمل C # من المرحلة الثانية ، PNGLoad ، يخفي الكود في ملفات الصور باستخدام إخفاء المعلومات (على الرغم من أن الباحثين لم يلتقطوا صورة مشفرة بعد).

بالنسبة للقيادة والتحكم ، يستخدم PowHeartBeat حاليًا حزم ICMP لإصدار أوامر للأنظمة المخترقة ، بما في ذلك تشغيل الأوامر وحفظ الملفات وتحميل البيانات.

بينما كان استهداف البرمجيات الخبيثة واستخدام بعض الثغرات الشائعة - مثل استغلال ProxyShellيقول باسيلي ، الذي تم استخدامه بنشاط لأكثر من عام - على غرار المجموعات الموجودة ، والجوانب الأخرى للهجوم فريدة من نوعها.

يقول: "لم نر أي تشابه في الشفرة مع البرامج الضارة المعروفة في الوقت الحالي". "هذا يعني أنهم يتمتعون بالحصرية على البرامج الضارة ، إما لأنهم يصنعونها بأنفسهم أو يشترونها من مصدر مغلق ؛ وبالتالي ، لديهم القدرة على تغيير أدواتهم وتحسينها. بالنظر إلى شهيتهم للتخفي واستهدافهم ، يجب تتبع نشاطهم ".

روابط قليلة لمجموعات أخرى

في حين أن مجموعة Worok لها جوانب تشبه TA428 ، مجموعة صينية التي نفذت عمليات إلكترونية ضد دول في منطقة آسيا والمحيط الهادئ ، فإن الأدلة ليست قوية بما يكفي لإسناد الهجمات إلى نفس المجموعة ، كما تقول ESET. قد تشترك المجموعتان في الأدوات ولديهما أهداف مشتركة ، لكنهما متميزان بدرجة كافية بحيث يُرجح أن يكون مشغلوهما مختلفين ، كما يقول باسيلي.

"لقد لاحظنا بعض النقاط المشتركة مع TA428 ، وخاصة استخدام ShadowPad، أوجه التشابه في الاستهداف ، وأوقات نشاطهم. "إن أوجه التشابه هذه ليست بهذه الأهمية ؛ لذلك نربط المجموعتين بثقة منخفضة ".

يقول باسيلي ، بالنسبة للشركات ، فإن هذا التحذير هو تحذير من أن المهاجمين يواصلون الابتكار. يجب على الشركات تتبع سلوك مجموعات التجسس الإلكتروني لفهم متى قد يتم استهداف صناعتها من قبل المهاجمين.

يقول باسيلي: "القاعدة الأولى والأكثر أهمية للحماية من الهجمات الإلكترونية هي الحفاظ على تحديث البرامج لتقليل سطح الهجوم ، واستخدام طبقات متعددة من الحماية لمنع الاختراقات".

الطابع الزمني:

اكثر من قراءة مظلمة