Η μυστηριώδης ομάδα «Worok» εγκαινιάζει κατασκοπευτική προσπάθεια με ασαφή κώδικα, ιδιωτικά εργαλεία

Μια σχετικά νέα ομάδα κυβερνοκατασκοπείας χρησιμοποιεί ένα συναρπαστικό προσαρμοσμένο οπλοστάσιο εργαλείων και τεχνικών για να θέσει σε κίνδυνο εταιρείες και κυβερνήσεις στη Νοτιοανατολική Ασία, τη Μέση Ανατολή και τη Νότια Αφρική, με επιθέσεις που στοχεύουν στη συλλογή πληροφοριών από στοχευμένους οργανισμούς.

Σύμφωνα με ανάλυση που δημοσιεύθηκε την Τρίτη από την εταιρεία κυβερνοασφάλειας ESET, το χαρακτηριστικό γνώρισμα της ομάδας, η οποία ονομάζεται Worok, είναι η χρήση προσαρμοσμένων εργαλείων που δεν εμφανίζονται σε άλλες επιθέσεις, η εστίαση σε στόχους στη Νοτιοανατολική Ασία και οι επιχειρησιακές ομοιότητες με την Κίνα. συνδεδεμένη ομάδα TA428.

Το 2020, ο όμιλος επιτέθηκε σε εταιρείες τηλεπικοινωνιών, κυβερνητικές υπηρεσίες και ναυτιλιακές εταιρείες στην περιοχή πριν κάνει ένα διάλειμμα πολλών μηνών. Ξεκίνησε ξανά τη λειτουργία του στις αρχές του 2022.

ESET εξέδωσε το γνωμοδοτικό στην ομάδα επειδή οι ερευνητές της εταιρείας δεν έχουν δει πολλά από τα εργαλεία που χρησιμοποιούνται από καμία άλλη ομάδα, λέει ο Thibaut Passilly, ερευνητής κακόβουλου λογισμικού στην ESET και συγγραφέας της ανάλυσης.

«Η Worok είναι μια ομάδα που χρησιμοποιεί αποκλειστικά και νέα εργαλεία για την κλοπή δεδομένων – οι στόχοι της είναι παγκοσμίως και περιλαμβάνουν ιδιωτικές εταιρείες, δημόσιους φορείς, καθώς και κυβερνητικούς θεσμούς», λέει. «Η χρήση διαφόρων τεχνικών συσκότισης, ειδικά της στεγανογραφίας, τους κάνει πραγματικά μοναδικούς».

Προσαρμοσμένο σύνολο εργαλείων Worok

Το Worok αντισταθμίζει την πιο πρόσφατη τάση των εισβολέων να χρησιμοποιούν υπηρεσίες κυβερνοεγκληματικότητας και εργαλεία επίθεσης επί εμπορευμάτων, καθώς αυτές οι προσφορές έχουν ανθίσει στο Dark Web. Το proxy-as-a-service που προσφέρει το EvilProxy, για παράδειγμα, επιτρέπει στις επιθέσεις phishing να παρακάμπτουν μεθόδους ελέγχου ταυτότητας δύο παραγόντων καταγράφοντας και τροποποιώντας περιεχόμενο εν κινήσει. Άλλες ομάδες έχουν ειδικευτεί σε συγκεκριμένες υπηρεσίες όπως π.χ μεσίτες αρχικής πρόσβασης, που επιτρέπουν σε ομάδες που χρηματοδοτούνται από το κράτος και σε εγκληματίες του κυβερνοχώρου να παραδίδουν ωφέλιμα φορτία σε ήδη παραβιασμένα συστήματα.

Αντίθετα, το σετ εργαλείων του Worok αποτελείται από ένα εσωτερικό κιτ. Περιλαμβάνει τον φορτωτή CLRLoad C++. την κερκόπορτα PowHeartBeat PowerShell. και ένα δεύτερου σταδίου C# loader, το PNGLoad, που κρύβει κώδικα σε αρχεία εικόνας χρησιμοποιώντας steganography (αν και οι ερευνητές δεν έχουν καταγράψει ακόμη μια κωδικοποιημένη εικόνα).

Για εντολές και έλεγχο, το PowHeartBeat χρησιμοποιεί επί του παρόντος πακέτα ICMP για την έκδοση εντολών σε παραβιασμένα συστήματα, συμπεριλαμβανομένων των εντολών εκτέλεσης, αποθήκευσης αρχείων και μεταφόρτωσης δεδομένων.

Ενώ η στόχευση του κακόβουλου λογισμικού και η χρήση κάποιων κοινών εκμεταλλεύσεων — όπως π.χ την εκμετάλλευση του ProxyShell, το οποίο χρησιμοποιείται ενεργά για περισσότερο από ένα χρόνο - είναι παρόμοιες με τις υπάρχουσες ομάδες, άλλες πτυχές της επίθεσης είναι μοναδικές, λέει ο Passilly.

"Δεν έχουμε δει καμία ομοιότητα κώδικα με ήδη γνωστό κακόβουλο λογισμικό προς το παρόν", λέει. «Αυτό σημαίνει ότι έχουν αποκλειστικότητα σε κακόβουλο λογισμικό, είτε επειδή το φτιάχνουν μόνοι τους είτε επειδή το αγοράζουν από κλειστή πηγή. Ως εκ τούτου, έχουν την ικανότητα να αλλάζουν και να βελτιώνουν τα εργαλεία τους. Λαμβάνοντας υπόψη την όρεξή τους για μυστικότητα και τη στόχευσή τους, η δραστηριότητά τους πρέπει να παρακολουθείται».

Λίγοι σύνδεσμοι προς άλλες ομάδες

Ενώ η ομάδα Worok έχει πτυχές που μοιάζουν TA428, ένας κινεζικός όμιλος που διεξήγαγε κυβερνοεπιχειρήσεις εναντίον εθνών στην περιοχή Ασίας-Ειρηνικού, τα στοιχεία δεν είναι αρκετά ισχυρά για να αποδώσουν τις επιθέσεις στην ίδια ομάδα, λέει η ESET. Οι δύο ομάδες μπορεί να μοιράζονται εργαλεία και να έχουν κοινούς στόχους, αλλά είναι αρκετά διακριτοί ώστε οι χειριστές τους να είναι πιθανώς διαφορετικοί, λέει ο Passilly.

«[Εχουμε] παρατηρήσει μερικά κοινά σημεία με το TA428, ειδικά το χρήση του ShadowPad, ομοιότητες στη στόχευση και χρόνους δραστηριότητάς τους», λέει. «Αυτές οι ομοιότητες δεν είναι τόσο σημαντικές. Ως εκ τούτου, συνδέουμε τις δύο ομάδες με χαμηλή αυτοπεποίθηση».

Για τις εταιρείες, η συμβουλευτική είναι μια προειδοποίηση ότι οι επιτιθέμενοι συνεχίζουν να καινοτομούν, λέει ο Passilly. Οι εταιρείες θα πρέπει να παρακολουθούν τη συμπεριφορά των ομάδων κυβερνοκατασκοπείας για να κατανοήσουν πότε η βιομηχανία τους μπορεί να γίνει στόχος επιτιθέμενων.

«Ο πρώτος και πιο σημαντικός κανόνας για την προστασία από τις επιθέσεις στον κυβερνοχώρο είναι να διατηρείτε ενημερωμένο το λογισμικό προκειμένου να μειώνεται η επιφάνεια της επίθεσης και να χρησιμοποιείτε πολλαπλά επίπεδα προστασίας για την αποφυγή εισβολών», λέει ο Passilly.