Eine relativ neue Cyber-Spionage-Gruppe nutzt ein faszinierendes Arsenal an maßgeschneiderten Tools und Techniken, um Unternehmen und Regierungen in Südostasien, dem Nahen Osten und dem südlichen Afrika zu kompromittieren, wobei Angriffe darauf abzielen, Informationen von Zielorganisationen zu sammeln.
Laut einer am Dienstag von der Cybersicherheitsfirma ESET veröffentlichten Analyse ist das Markenzeichen der Gruppe, die den Namen Worok trägt, die Verwendung von benutzerdefinierten Tools, die bei anderen Angriffen nicht zu sehen waren, ein Fokus auf Ziele in Südostasien und operative Ähnlichkeiten mit der China- verknüpfte TA428-Gruppe.
Im Jahr 2020 griff die Gruppe Telekommunikationsunternehmen, Regierungsbehörden und maritime Firmen in der Region an, bevor sie eine monatelange Pause einlegte. Der Betrieb wurde Anfang 2022 wieder aufgenommen.
ESET erteilte die Empfehlung auf die Gruppe, weil die Forscher des Unternehmens viele der Tools, die von keiner anderen Gruppe verwendet werden, gesehen haben, sagt Thibaut Passilly, ein Malware-Forscher bei ESET und Autor der Analyse.
„Workok ist eine Gruppe, die exklusive und neue Tools verwendet, um Daten zu stehlen – ihre Ziele sind weltweit und umfassen Privatunternehmen, öffentliche Einrichtungen sowie Regierungsinstitutionen“, sagt er. „Ihre Verwendung verschiedener Verschleierungstechniken, insbesondere der Steganographie, macht sie wirklich einzigartig.“
Workoks benutzerdefiniertes Toolset
Worok widersetzt sich dem neueren Trend, dass Angreifer cyberkriminelle Dienste und Commodity-Angriffstools verwenden, da diese Angebote im Dark Web aufgeblüht sind. Das Proxy-as-a-Service-Angebot EvilProxy beispielsweise ermöglicht Phishing-Angriffen, Zwei-Faktor-Authentifizierungsmethoden zu umgehen durch schnelles Erfassen und Ändern von Inhalten. Andere Gruppen haben sich auf bestimmte Dienstleistungen wie spezialisiert Erstzugangsmakler, die es staatlich geförderten Gruppen und Cyberkriminellen ermöglichen, Nutzlasten an bereits kompromittierte Systeme zu liefern.
Das Toolset von Worok besteht stattdessen aus einem hauseigenen Kit. Es enthält den C++-Loader CLRLoad; die PowHeartBeat PowerShell-Hintertür; und ein C#-Loader der zweiten Stufe, PNGLoad, der Code mithilfe von Steganographie in Bilddateien verbirgt (obwohl Forscher noch kein codiertes Bild erfasst haben).
Für Befehl und Kontrolle verwendet PowHeartBeat derzeit ICMP-Pakete, um Befehle an kompromittierte Systeme zu erteilen, einschließlich Ausführen von Befehlen, Speichern von Dateien und Hochladen von Daten.
Während das Targeting der Malware und die Verwendung einiger gängiger Exploits – wie z der ProxyShell-Exploit, die seit mehr als einem Jahr aktiv genutzt werden – bestehenden Gruppen ähneln, sind andere Aspekte des Angriffs einzigartig, sagt Passilly.
„Wir haben bisher keine Code-Ähnlichkeit mit bereits bekannter Malware festgestellt“, sagt er. „Das bedeutet, dass sie die Exklusivität über bösartige Software haben, entweder weil sie sie selbst herstellen oder sie von einer geschlossenen Quelle kaufen; Daher haben sie die Möglichkeit, ihre Werkzeuge zu ändern und zu verbessern. In Anbetracht ihres Appetits auf Heimlichkeit und ihres Zielens müssen ihre Aktivitäten verfolgt werden.“
Wenige Links zu anderen Gruppen
Während die Workok-Gruppe ähnliche Aspekte hat TA428, eine chinesische Gruppe die Cyber-Operationen gegen Nationen im asiatisch-pazifischen Raum durchgeführt hat, sind die Beweise nicht stark genug, um die Angriffe derselben Gruppe zuzuschreiben, sagt ESET. Die beiden Gruppen teilen sich möglicherweise Tools und haben gemeinsame Ziele, aber sie sind so unterschiedlich, dass ihre Bediener wahrscheinlich unterschiedlich sind, sagt Passilly.
„[W]ir haben einige Gemeinsamkeiten mit TA428 festgestellt, insbesondere die Verwendung von ShadowPad, Ähnlichkeiten im Targeting und ihre Aktivitätszeiten“, sagt er. „Diese Ähnlichkeiten sind nicht so signifikant; daher verbinden wir die beiden Gruppen mit geringem Vertrauen.“
Für Unternehmen ist das Advisory eine Warnung, dass Angreifer weiterhin innovativ sein werden, sagt Passilly. Unternehmen sollten das Verhalten von Cyberspionagegruppen verfolgen, um zu verstehen, wann ihre Branche von Angreifern angegriffen werden könnte.
„Die erste und wichtigste Regel zum Schutz vor Cyberangriffen besteht darin, die Software auf dem neuesten Stand zu halten, um die Angriffsfläche zu verringern, und mehrere Schutzebenen zu verwenden, um Eindringlinge zu verhindern“, sagt Passilly.
