Suhteellisen uusi kybervakoiluryhmä käyttää kiehtovaa mukautettua työkalujen ja tekniikoiden arsenaalia vaarantaakseen Kaakkois-Aasian, Lähi-idän ja Etelä-Afrikan yrityksiä ja hallituksia hyökkäyksillä, joiden tarkoituksena on kerätä tiedustelutietoa kohdeorganisaatioilta.
Kyberturvallisuusyhtiö ESET:n tiistaina julkaiseman analyysin mukaan Worokiksi kutsutun ryhmän tunnusmerkkinä on räätälöityjen työkalujen käyttö, jota ei ole nähty muissa hyökkäyksissä, keskittyminen Kaakkois-Aasian kohteisiin ja toiminnalliset yhtäläisyydet Kiinan kanssa. linkitetty TA428-ryhmä.
Vuonna 2020 ryhmä hyökkäsi televiestintäyrityksiin, valtion virastoihin ja merenkulkualan yrityksiin alueella ennen kuin piti kuukauden pituisen tauon. Se aloitti toimintansa uudelleen vuoden 2022 alussa.
ESET antoi neuvonnan ryhmään, koska yrityksen tutkijat eivät ole nähneet monia muiden ryhmien käyttämiä työkaluja, sanoo Thibaut Passilly, ESETin haittaohjelmien tutkija ja analyysin kirjoittaja.
"Worok on ryhmä, joka käyttää eksklusiivisia ja uusia työkaluja tietojen varastamiseen – niiden kohteena ovat maailmanlaajuiset ja sisältävät yksityisiä yrityksiä, julkisia tahoja sekä valtion instituutioita", hän sanoo. "Heidän erilaisten hämärätekniikoiden, erityisesti steganografian, käyttö tekee niistä todella ainutlaatuisia."
Worokin mukautettu työkalusarja
Worok vastustaa uudempaa trendiä, jossa hyökkääjät käyttävät kyberrikollisia palveluita ja hyödykehyökkäystyökaluja, kun nämä tarjoukset ovat kukoistaneet Dark Webissä. Välityspalvelin, joka tarjoaa EvilProxyn, esim. sallii tietojenkalasteluhyökkäysten ohittaa kaksivaiheiset todennusmenetelmät sieppaamalla ja muokkaamalla sisältöä lennossa. Muut ryhmät ovat erikoistuneet tiettyihin palveluihin, kuten alkupääsyn välittäjät, joiden avulla valtion tukemat ryhmät ja kyberrikolliset voivat toimittaa hyötykuormia jo vaarantuneisiin järjestelmiin.
Worokin työkalusarja sen sijaan koostuu talon sisäisestä sarjasta. Se sisältää CLLRoad C++ -lataimen; PowHeartBeat PowerShell-takaovi; ja toisen vaiheen C#-latausohjelma, PNGLoad, joka piilottaa koodin kuvatiedostoihin steganografian avulla (vaikka tutkijat eivät ole vielä saaneet koodattua kuvaa).
PowHeartBeat käyttää tällä hetkellä ICMP-paketteja komentoihin ja hallintaan komentojen antamiseen vaarantuneille järjestelmille, mukaan lukien komentojen suorittamiseen, tiedostojen tallentamiseen ja tietojen lähettämiseen.
Vaikka haittaohjelmien kohdistaminen ja joidenkin yleisten hyväksikäyttöjen käyttö – kuten ProxyShellin hyväksikäyttö, jota on käytetty aktiivisesti yli vuoden – ovat samanlaisia kuin olemassa olevat ryhmät, muut hyökkäyksen näkökohdat ovat ainutlaatuisia, Passilly sanoo.
"Emme ole havainneet koodin samankaltaisuutta jo tunnettujen haittaohjelmien kanssa", hän sanoo. "Tämä tarkoittaa, että heillä on yksinoikeus haittaohjelmiin nähden, joko siksi, että he tekevät sen itse tai ostavat sen suljetusta lähteestä; näin ollen heillä on kyky muuttaa ja parantaa työkalujaan. Kun otetaan huomioon heidän halukkuutensa salaperäisyyteen ja kohdistaminen, heidän toimintaansa on seurattava."
Muutama linkki muihin ryhmiin
Vaikka Worok-ryhmässä on näkökohtia, jotka muistuttavat TA428, kiinalainen ryhmä joka on suorittanut kyberoperaatioita Aasian ja Tyynenmeren alueen kansoja vastaan, todisteet eivät ole tarpeeksi vahvoja, jotta hyökkäykset voitaisiin katsoa saman ryhmän syyksi, ESET sanoo. Kahdella ryhmällä voi olla yhteisiä työkaluja ja yhteisiä tavoitteita, mutta ne ovat riittävän erilaisia, jotta niiden toimijat ovat todennäköisesti erilaisia, Passilly sanoo.
"Olemme havainneet muutamia yhteisiä kohtia TA428:n kanssa, erityisesti ShadowPadin käyttö, yhtäläisyyksiä kohdistuksissa ja niiden aktiivisuusajat”, hän sanoo. "Nämä yhtäläisyydet eivät ole niin merkittäviä; siksi yhdistämme nämä kaksi ryhmää heikosti luottavaisesti."
Yrityksille neuvonta on varoitus siitä, että hyökkääjät jatkavat innovointia, Passilly sanoo. Yritysten tulee seurata kybervakoiluryhmien käyttäytymistä ymmärtääkseen, milloin hyökkääjät voivat joutua niiden toimialaan.
"Ensimmäinen ja tärkein sääntö kyberhyökkäyksiltä suojautumiseen on pitää ohjelmistot ajan tasalla hyökkäyspinnan vähentämiseksi ja käyttää useita suojakerroksia tunkeutumisen estämiseksi", Passilly sanoo.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
