گروه مرموز "Worok" تلاش های جاسوسی را با کد مبهم، ابزارهای خصوصی راه اندازی می کند

یک گروه جاسوسی سایبری نسبتاً جدید از یک زرادخانه سفارشی جذاب از ابزارها و تکنیک‌ها برای به خطر انداختن شرکت‌ها و دولت‌ها در آسیای جنوب شرقی، خاورمیانه و جنوب آفریقا با حملاتی با هدف جمع‌آوری اطلاعات از سازمان‌های هدف استفاده می‌کند.

بر اساس تحلیلی که روز سه شنبه توسط شرکت امنیت سایبری ESET منتشر شد، ویژگی بارز این گروه که Worok نام دارد، استفاده از ابزارهای سفارشی است که در حملات دیگر دیده نمی شود، تمرکز بر اهداف در جنوب شرقی آسیا و شباهت های عملیاتی به چین است. گروه TA428 مرتبط است.

در سال 2020، این گروه به شرکت‌های مخابراتی، آژانس‌های دولتی و شرکت‌های دریایی در این منطقه حمله کرد و سپس یک وقفه چند ماهه گرفت. در ابتدای سال 2022 فعالیت خود را از سر گرفت.

ESET مشورتی را صادر کرد Thibaut Passilly، محقق بدافزار در ESET و نویسنده تجزیه و تحلیل، می گوید: در این گروه زیرا محققان شرکت بسیاری از ابزارهای مورد استفاده توسط هیچ گروه دیگری را ندیده اند.

او می‌گوید: «Worok گروهی است که از ابزارهای انحصاری و جدید برای سرقت داده‌ها استفاده می‌کند - اهداف آنها در سراسر جهان است و شامل شرکت‌های خصوصی، نهادهای عمومی و همچنین مؤسسات دولتی می‌شود.» استفاده از تکنیک‌های مختلف مبهم‌سازی، به‌ویژه استگانوگرافی، آن‌ها را واقعا منحصربه‌فرد می‌کند.»

مجموعه ابزار سفارشی Worok

Worok روند اخیر مهاجمان را که از خدمات مجرمانه سایبری و ابزارهای حمله کالایی استفاده می کنند، کاهش می دهد زیرا این پیشنهادات در دارک وب شکوفا شده است. به عنوان مثال، پروکسی به عنوان سرویس که EvilProxy را ارائه می دهد، به حملات فیشینگ اجازه می دهد تا روش های احراز هویت دو مرحله ای را دور بزنند با گرفتن و اصلاح محتوا در پرواز. گروه های دیگر در خدمات خاصی مانند کارگزاران دسترسی اولیه، که به گروه های تحت حمایت دولت و مجرمان سایبری امکان می دهد محموله ها را به سیستم های در معرض خطر تحویل دهند.

در عوض مجموعه ابزار Worok از یک کیت داخلی تشکیل شده است. این شامل لودر C++ CLRLoad است. درب پشتی PowHeartBeat PowerShell. و یک لودر سی شارپ مرحله دوم، PNGLoad، که کد را در فایل های تصویری با استفاده از استگانوگرافی پنهان می کند (اگرچه محققان هنوز یک تصویر رمزگذاری شده را ثبت نکرده اند).

برای فرمان و کنترل، PowHeartBeat در حال حاضر از بسته های ICMP برای صدور دستورات به سیستم های در معرض خطر، از جمله اجرای دستورات، ذخیره فایل ها و آپلود داده ها استفاده می کند.

در حالی که هدف قرار دادن بدافزار و استفاده از برخی سوء استفاده های رایج - مانند اکسپلویت ProxyShellپاسیلی می‌گوید، که بیش از یک سال است که به طور فعال مورد استفاده قرار گرفته است - شبیه به گروه‌های موجود است، سایر جنبه‌های حمله منحصربه‌فرد هستند.

او می گوید: «در حال حاضر هیچ شباهتی کد با بدافزارهای شناخته شده ندیده ایم. «این بدان معناست که آنها نسبت به نرم افزارهای مخرب انحصاری دارند، یا به این دلیل که خودشان آن را می سازند یا آن را از یک منبع بسته خریداری می کنند. از این رو، آنها توانایی تغییر و بهبود ابزارهای خود را دارند. با توجه به اشتهای آنها برای پنهان کاری و هدف گیری آنها، باید فعالیت آنها ردیابی شود."

چند لینک به گروه های دیگر

در حالی که گروه Worok جنبه هایی شبیه به هم دارد TA428، یک گروه چینی ESET می گوید که عملیات سایبری علیه کشورهای منطقه آسیا و اقیانوسیه انجام داده است، شواهد به اندازه کافی قوی نیست که بتوان این حملات را به همان گروه نسبت داد. Passilly می گوید که این دو گروه ممکن است ابزارهای مشترک داشته باشند و اهداف مشترکی داشته باشند، اما آنها به اندازه کافی متمایز هستند که اپراتورهای آنها احتمالاً متفاوت هستند.

«[ما] چند نکته مشترک را با TA428 مشاهده کرده‌ایم، به خصوص استفاده از ShadowPadاو می‌گوید، شباهت‌ها در هدف‌گیری و زمان‌های فعالیت آن‌ها. این شباهت ها چندان قابل توجه نیست. بنابراین ما این دو گروه را با اعتماد پایین به هم مرتبط می‌کنیم.»

پاسیلی می‌گوید برای شرکت‌ها، این توصیه هشداری است مبنی بر اینکه مهاجمان به نوآوری خود ادامه می‌دهند. شرکت‌ها باید رفتار گروه‌های جاسوسی سایبری را ردیابی کنند تا بفهمند چه زمانی صنعت آنها ممکن است توسط مهاجمان هدف قرار گیرد.

پاسیلی می گوید: «اولین و مهمترین قانون برای محافظت در برابر حملات سایبری، به روز نگه داشتن نرم افزار به منظور کاهش سطح حمله و استفاده از چندین لایه حفاظتی برای جلوگیری از نفوذ است.