یک گروه جاسوسی سایبری نسبتاً جدید از یک زرادخانه سفارشی جذاب از ابزارها و تکنیکها برای به خطر انداختن شرکتها و دولتها در آسیای جنوب شرقی، خاورمیانه و جنوب آفریقا با حملاتی با هدف جمعآوری اطلاعات از سازمانهای هدف استفاده میکند.
بر اساس تحلیلی که روز سه شنبه توسط شرکت امنیت سایبری ESET منتشر شد، ویژگی بارز این گروه که Worok نام دارد، استفاده از ابزارهای سفارشی است که در حملات دیگر دیده نمی شود، تمرکز بر اهداف در جنوب شرقی آسیا و شباهت های عملیاتی به چین است. گروه TA428 مرتبط است.
در سال 2020، این گروه به شرکتهای مخابراتی، آژانسهای دولتی و شرکتهای دریایی در این منطقه حمله کرد و سپس یک وقفه چند ماهه گرفت. در ابتدای سال 2022 فعالیت خود را از سر گرفت.
ESET مشورتی را صادر کرد Thibaut Passilly، محقق بدافزار در ESET و نویسنده تجزیه و تحلیل، می گوید: در این گروه زیرا محققان شرکت بسیاری از ابزارهای مورد استفاده توسط هیچ گروه دیگری را ندیده اند.
او میگوید: «Worok گروهی است که از ابزارهای انحصاری و جدید برای سرقت دادهها استفاده میکند - اهداف آنها در سراسر جهان است و شامل شرکتهای خصوصی، نهادهای عمومی و همچنین مؤسسات دولتی میشود.» استفاده از تکنیکهای مختلف مبهمسازی، بهویژه استگانوگرافی، آنها را واقعا منحصربهفرد میکند.»
مجموعه ابزار سفارشی Worok
Worok روند اخیر مهاجمان را که از خدمات مجرمانه سایبری و ابزارهای حمله کالایی استفاده می کنند، کاهش می دهد زیرا این پیشنهادات در دارک وب شکوفا شده است. به عنوان مثال، پروکسی به عنوان سرویس که EvilProxy را ارائه می دهد، به حملات فیشینگ اجازه می دهد تا روش های احراز هویت دو مرحله ای را دور بزنند با گرفتن و اصلاح محتوا در پرواز. گروه های دیگر در خدمات خاصی مانند کارگزاران دسترسی اولیه، که به گروه های تحت حمایت دولت و مجرمان سایبری امکان می دهد محموله ها را به سیستم های در معرض خطر تحویل دهند.
در عوض مجموعه ابزار Worok از یک کیت داخلی تشکیل شده است. این شامل لودر C++ CLRLoad است. درب پشتی PowHeartBeat PowerShell. و یک لودر سی شارپ مرحله دوم، PNGLoad، که کد را در فایل های تصویری با استفاده از استگانوگرافی پنهان می کند (اگرچه محققان هنوز یک تصویر رمزگذاری شده را ثبت نکرده اند).
برای فرمان و کنترل، PowHeartBeat در حال حاضر از بسته های ICMP برای صدور دستورات به سیستم های در معرض خطر، از جمله اجرای دستورات، ذخیره فایل ها و آپلود داده ها استفاده می کند.
در حالی که هدف قرار دادن بدافزار و استفاده از برخی سوء استفاده های رایج - مانند اکسپلویت ProxyShellپاسیلی میگوید، که بیش از یک سال است که به طور فعال مورد استفاده قرار گرفته است - شبیه به گروههای موجود است، سایر جنبههای حمله منحصربهفرد هستند.
او می گوید: «در حال حاضر هیچ شباهتی کد با بدافزارهای شناخته شده ندیده ایم. «این بدان معناست که آنها نسبت به نرم افزارهای مخرب انحصاری دارند، یا به این دلیل که خودشان آن را می سازند یا آن را از یک منبع بسته خریداری می کنند. از این رو، آنها توانایی تغییر و بهبود ابزارهای خود را دارند. با توجه به اشتهای آنها برای پنهان کاری و هدف گیری آنها، باید فعالیت آنها ردیابی شود."
چند لینک به گروه های دیگر
در حالی که گروه Worok جنبه هایی شبیه به هم دارد TA428، یک گروه چینی ESET می گوید که عملیات سایبری علیه کشورهای منطقه آسیا و اقیانوسیه انجام داده است، شواهد به اندازه کافی قوی نیست که بتوان این حملات را به همان گروه نسبت داد. Passilly می گوید که این دو گروه ممکن است ابزارهای مشترک داشته باشند و اهداف مشترکی داشته باشند، اما آنها به اندازه کافی متمایز هستند که اپراتورهای آنها احتمالاً متفاوت هستند.
«[ما] چند نکته مشترک را با TA428 مشاهده کردهایم، به خصوص استفاده از ShadowPadاو میگوید، شباهتها در هدفگیری و زمانهای فعالیت آنها. این شباهت ها چندان قابل توجه نیست. بنابراین ما این دو گروه را با اعتماد پایین به هم مرتبط میکنیم.»
پاسیلی میگوید برای شرکتها، این توصیه هشداری است مبنی بر اینکه مهاجمان به نوآوری خود ادامه میدهند. شرکتها باید رفتار گروههای جاسوسی سایبری را ردیابی کنند تا بفهمند چه زمانی صنعت آنها ممکن است توسط مهاجمان هدف قرار گیرد.
پاسیلی می گوید: «اولین و مهمترین قانون برای محافظت در برابر حملات سایبری، به روز نگه داشتن نرم افزار به منظور کاهش سطح حمله و استفاده از چندین لایه حفاظتی برای جلوگیری از نفوذ است.