En relativt ny cyberspionagegruppe bruger et spændende tilpasset arsenal af værktøjer og teknikker til at kompromittere virksomheder og regeringer i Sydøstasien, Mellemøsten og det sydlige Afrika med angreb rettet mod at indsamle efterretninger fra målrettede organisationer.
Ifølge en analyse offentliggjort tirsdag af cybersikkerhedsfirmaet ESET, er kendetegnende for gruppen, som er døbt Worok, dens brug af brugerdefinerede værktøjer, der ikke ses i andre angreb, fokus på mål i Sydøstasien og operationelle ligheder med Kina- knyttet TA428 gruppe.
I 2020 angreb gruppen teleselskaber, statslige agenturer og maritime firmaer i regionen, før de tog en måneder lang pause. Det genstartede driften i begyndelsen af 2022.
ESET udsendte meddelelsen på gruppen, fordi virksomhedens forskere ikke har set mange af de værktøjer, der bruges af nogen anden gruppe, siger Thibaut Passilly, en malware-forsker hos ESET og forfatter til analysen.
"Worok er en gruppe, der bruger eksklusive og nye værktøjer til at stjæle data - deres mål er verdensomspændende og omfatter private virksomheder, offentlige enheder såvel som statslige institutioner," siger han. "Deres brug af forskellige sløringsteknikker, især steganografi, gør dem virkelig unikke."
Woroks brugerdefinerede værktøjssæt
Worok afviser den nyere tendens med angribere, der bruger cyberkriminelle tjenester og råvareangrebsværktøjer, da disse tilbud er blomstret op på Dark Web. Proxy-as-a-service tilbyder EvilProxy, f.eks. tillader phishing-angreb at omgå to-faktor-godkendelsesmetoder ved at fange og ændre indhold på farten. Andre grupper har specialiseret sig i specifikke services som f.eks indledende adgangsmæglere, som tillader statssponsorerede grupper og cyberkriminelle at levere nyttelast til allerede kompromitterede systemer.
Woroks værktøjssæt består i stedet af et internt sæt. Det inkluderer CLLRoad C++ loader; PowHeartBeat PowerShell bagdøren; og en anden-trins C#-indlæser, PNGLoad, der skjuler kode i billedfiler ved hjælp af steganografi (selvom forskere endnu ikke har fanget et kodet billede).
Til kommando og kontrol bruger PowHeartBeat i øjeblikket ICMP-pakker til at udstede kommandoer til kompromitterede systemer, herunder at køre kommandoer, gemme filer og uploade data.
Mens målretningen af malwaren og brugen af nogle almindelige udnyttelser - som f.eks ProxyShell-udnyttelsen, som har været aktivt brugt i mere end et år - ligner eksisterende grupper, andre aspekter af angrebet er unikke, siger Passilly.
"Vi har ikke set nogen kodelighed med allerede kendt malware for nu," siger han. "Det betyder, at de har eksklusivitet over ondsindet software, enten fordi de laver det selv, eller fordi de køber det fra en lukket kilde; derfor har de evnen til at ændre og forbedre deres værktøjer. I betragtning af deres appetit på snighed og deres målretning, skal deres aktivitet spores."
Få links til andre grupper
Mens Worok-gruppen har aspekter, der ligner TA428, en kinesisk gruppe der har kørt cyberoperationer mod nationer i Asien-Stillehavsområdet, er beviserne ikke stærke nok til at tilskrive angrebene den samme gruppe, siger ESET. De to grupper deler muligvis værktøjer og har fælles mål, men de er adskilte nok til, at deres operatører sandsynligvis er forskellige, siger Passilly.
"[vi] har observeret et par fælles punkter med TA428, især brug af ShadowPad, ligheder i målretningen og deres aktivitetstider,” siger han. “Disse ligheder er ikke så væsentlige; derfor forbinder vi de to grupper med lav tillid."
For virksomheder er rådgivningen en advarsel om, at angribere fortsætter med at innovere, siger Passilly. Virksomheder bør spore cyberspionagegruppers adfærd for at forstå, hvornår deres branche kan være målrettet af angribere.
"Den første og vigtigste regel til at beskytte mod cyberangreb er at holde software opdateret for at reducere angrebsoverfladen og bruge flere lag af beskyttelse for at forhindre indtrængen," siger Passilly.
