Suhteliselt uus küberspionaažirühm kasutab intrigeerivat kohandatud tööriistade ja tehnikate arsenali, et kompromiteerida ettevõtteid ja valitsusi Kagu-Aasias, Lähis-Idas ja Lõuna-Aafrikas rünnakutega, mille eesmärk on koguda luureandmeid sihtorganisatsioonidelt.
Küberjulgeolekufirma ESET teisipäeval avaldatud analüüsi kohaselt on Worokiks nimetatud grupi tunnuseks kohandatud tööriistade kasutamine, mida teistes rünnakutes pole nähtud, keskendumine sihtmärkidele Kagu-Aasias ja tegevuse sarnasused Hiinaga. seotud TA428 rühmaga.
2020. aastal ründas rühmitus piirkonna telekommunikatsiooniettevõtteid, valitsusasutusi ja merendusettevõtteid, enne kui tegi kuu pikkuse pausi. See taasalustas tegevust 2022. aasta alguses.
ESET andis välja nõuande grupis, sest ettevõtte teadlased pole näinud paljusid ühegi teise grupi tööriistu, ütleb Thibaut Passilly, ESET-i pahavara uurija ja analüüsi autor.
"Worok on grupp, mis kasutab andmete varastamiseks eksklusiivseid ja uusi tööriistu – nende sihtmärgid on ülemaailmne ja hõlmavad nii eraettevõtteid, avalik-õiguslikke üksusi kui ka valitsusasutusi," ütleb ta. "Erinevate segamistehnikate, eriti steganograafia kasutamine muudab need tõeliselt ainulaadseks."
Woroki kohandatud tööriistakomplekt
Worok maksab hiljutise suundumuse, mille kohaselt ründajad kasutavad küberkurjategijate teenuseid ja kaubarünnakute tööriistu, kuna need pakkumised on Dark Web'is õitsele jõudnud. Näiteks puhverserver, mis pakub teenust EvilProxy, võimaldab andmepüügirünnakutel kahefaktorilistest autentimismeetoditest mööda minna jäädvustades ja muutes sisu lennult. Teised rühmad on spetsialiseerunud konkreetsetele teenustele, näiteks esialgse juurdepääsu vahendajad, mis võimaldavad riiklikult toetatud rühmitustel ja küberkurjategijatel toimetada kasulikke koormusi juba ohustatud süsteemidesse.
Selle asemel koosneb Woroki tööriistakomplekt ettevõttesisesest komplektist. See sisaldab CLLRoad C++ laadurit; PowHeartBeat PowerShelli tagauks; ja teise astme C# laadija PNGLoad, mis peidab steganograafia abil pildifailides koodi (kuigi teadlased pole veel kodeeritud pilti jäädvustanud).
Käskude ja juhtimise jaoks kasutab PowHeartBeat praegu ICMP pakette, et anda käske ohustatud süsteemidele, sealhulgas käskude käitamiseks, failide salvestamiseks ja andmete üleslaadimiseks.
Kuigi pahavara sihtimine ja mõnede levinumate ärakasutamiste – näiteks ProxyShelli ärakasutamine, mida on aktiivselt kasutatud üle aasta – on sarnased olemasolevate rühmitustega, muud rünnaku aspektid on ainulaadsed, ütleb Passilly.
"Praegu pole me näinud koodide sarnasust juba tuntud pahavaraga," ütleb ta. „See tähendab, et neil on pahatahtliku tarkvara suhtes eksklusiivsus, kuna nad teevad selle ise või ostavad selle suletud allikast; seega on neil võimalus oma tööriistu muuta ja täiustada. Arvestades nende hiilimishimu ja sihtimist, tuleb nende tegevust jälgida.
Mõned lingid teistele gruppidele
Kuigi töörühmal on sarnaseid aspekte TA428, Hiina kontsern kes on Aasia ja Vaikse ookeani piirkonna riikide vastu küberoperatsioone korraldanud, ei ole tõendid piisavalt tugevad, et omistada rünnakud samale rühmale, ütleb ESET. Need kaks rühma võivad jagada tööriistu ja neil on ühised eesmärgid, kuid need on piisavalt erinevad, et nende operaatorid on tõenäoliselt erinevad, ütleb Passilly.
"Oleme TA428 puhul täheldanud mõningaid ühiseid punkte, eriti ShadowPadi kasutamine, sihtimise sarnasusi ja nende tegevusaegu, ”ütleb ta. „Need sarnasused ei ole nii olulised; Seetõttu ühendame need kaks rühma madala kindlustundega.
Ettevõtete jaoks on nõuanne hoiatus, et ründajad jätkavad uuenduste tegemist, ütleb Passilly. Ettevõtted peaksid jälgima küberspionaažirühmade käitumist, et mõista, millal võivad ründajad nende tööstusharu sihtmärgiks saada.
"Küberrünnakute eest kaitsmise esimene ja kõige olulisem reegel on hoida tarkvara värskendatuna, et vähendada rünnaku pinda, ja kasutada sissetungimise vältimiseks mitut kaitsekihti, " ütleb Passilly.
