Un grupo de ciberespionaje relativamente nuevo está utilizando un intrigante arsenal personalizado de herramientas y técnicas para comprometer a empresas y gobiernos en el sudeste asiático, el Medio Oriente y el sur de África, con ataques destinados a recopilar inteligencia de organizaciones objetivo.
Según un análisis publicado el martes por la firma de ciberseguridad ESET, el sello distintivo del grupo, que se denomina Worok, es el uso de herramientas personalizadas que no se ven en otros ataques, un enfoque en objetivos en el sudeste asiático y similitudes operativas con China. grupo TA428 vinculado.
En 2020, el grupo atacó empresas de telecomunicaciones, agencias gubernamentales y empresas marítimas en la región antes de tomarse un descanso de meses. Reinició operaciones a principios de 2022.
ESET emitió el aviso en el grupo porque los investigadores de la compañía no han visto muchas de las herramientas utilizadas por ningún otro grupo, dice Thibaut Passilly, investigador de malware de ESET y autor del análisis.
“Worok es un grupo que utiliza herramientas exclusivas y nuevas para robar datos; sus objetivos son en todo el mundo e incluyen empresas privadas, entidades públicas e instituciones gubernamentales”, dice. "Su uso de varias técnicas de ofuscación, especialmente la esteganografía, los hace realmente únicos".
Conjunto de herramientas personalizadas de Workok
Worok se opone a la tendencia más reciente de los atacantes que utilizan servicios de ciberdelincuentes y herramientas de ataque de productos básicos, ya que estas ofertas han florecido en la Dark Web. La oferta de proxy como servicio EvilProxy, por ejemplo, permite que los ataques de phishing eviten los métodos de autenticación de dos factores capturando y modificando contenido sobre la marcha. Otros grupos se han especializado en servicios específicos como corredores de acceso inicial, que permiten a los grupos patrocinados por el estado y a los ciberdelincuentes entregar cargas útiles a sistemas ya comprometidos.
En cambio, el conjunto de herramientas de Worok consiste en un kit interno. Incluye el cargador CLRLoad C++; la puerta trasera PowHeartBeat PowerShell; y un cargador de C# de segunda etapa, PNGLoad, que oculta código en archivos de imagen mediante esteganografía (aunque los investigadores aún no han capturado una imagen codificada).
Para comando y control, PowHeartBeat actualmente usa paquetes ICMP para emitir comandos a sistemas comprometidos, incluida la ejecución de comandos, el guardado de archivos y la carga de datos.
Si bien la orientación del malware y el uso de algunos exploits comunes, como la explotación de ProxyShell, que se ha utilizado activamente durante más de un año, son similares a los grupos existentes, otros aspectos del ataque son únicos, dice Passilly.
“No hemos visto ninguna similitud de código con el malware ya conocido por ahora”, dice. “Esto significa que tienen exclusividad sobre el software malicioso, ya sea porque lo fabrican ellos mismos o lo compran a una fuente cerrada; por lo tanto, tienen la capacidad de cambiar y mejorar sus herramientas. Teniendo en cuenta su apetito por el sigilo y su orientación, su actividad debe ser rastreada”.
Pocos enlaces a otros grupos
Mientras que el grupo Workok tiene aspectos que se asemejan TA428, un grupo chino que ha llevado a cabo operaciones cibernéticas contra naciones en la región de Asia y el Pacífico, la evidencia no es lo suficientemente fuerte como para atribuir los ataques al mismo grupo, dice ESET. Los dos grupos pueden compartir herramientas y tener objetivos comunes, pero son lo suficientemente distintos como para que sus operadores sean probablemente diferentes, dice Passilly.
“[Hemos] observado algunos puntos en común con TA428, especialmente el uso de ShadowPad, similitudes en la orientación y sus tiempos de actividad”, dice. “Estas similitudes no son tan significativas; por lo tanto, vinculamos los dos grupos con poca confianza”.
Para las empresas, el aviso es una advertencia de que los atacantes continúan innovando, dice Passilly. Las empresas deben realizar un seguimiento del comportamiento de los grupos de ciberespionaje para comprender cuándo su industria podría ser el objetivo de los atacantes.
“La primera y más importante regla para protegerse contra los ataques cibernéticos es mantener el software actualizado para reducir la superficie de ataque y usar múltiples capas de protección para prevenir intrusiones”, dice Passilly.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
