Un groupe de cyberespionnage relativement nouveau utilise un arsenal personnalisé intrigant d'outils et de techniques pour compromettre des entreprises et des gouvernements en Asie du Sud-Est, au Moyen-Orient et en Afrique australe, avec des attaques visant à collecter des renseignements auprès d'organisations ciblées.
Selon une analyse publiée mardi par la société de cybersécurité ESET, la marque de fabrique du groupe, surnommé Worok, est son utilisation d'outils personnalisés non vus dans d'autres attaques, l'accent mis sur des cibles en Asie du Sud-Est et des similitudes opérationnelles avec la Chine. groupe TA428 lié.
En 2020, le groupe a attaqué des entreprises de télécommunications, des agences gouvernementales et des entreprises maritimes de la région avant de faire une pause de plusieurs mois. Il a redémarré ses opérations au début de 2022.
ESET émis l'avis sur le groupe parce que les chercheurs de l'entreprise n'ont pas vu beaucoup d'outils utilisés par un autre groupe, explique Thibaut Passilly, chercheur sur les logiciels malveillants chez ESET et auteur de l'analyse.
« Workok est un groupe qui utilise des outils exclusifs et nouveaux pour voler des données – leurs cibles sont mondiales et comprennent des entreprises privées, des entités publiques ainsi que des institutions gouvernementales », dit-il. "Leur utilisation de diverses techniques d'obscurcissement, en particulier la stéganographie, les rend vraiment uniques."
Ensemble d'outils personnalisés de Workok
Worok va à l'encontre de la tendance la plus récente des attaquants à utiliser des services cybercriminels et des outils d'attaque de produits de base, car ces offres se sont développées sur le Dark Web. L'offre de proxy en tant que service EvilProxy, par exemple, permet aux attaques de phishing de contourner les méthodes d'authentification à deux facteurs en capturant et en modifiant le contenu à la volée. D'autres groupes se sont spécialisés dans des services spécifiques tels que courtiers en accès initial, qui permettent aux groupes parrainés par l'État et aux cybercriminels de fournir des charges utiles à des systèmes déjà compromis.
L'ensemble d'outils de Worok se compose plutôt d'un kit interne. Il inclut le chargeur CLRLoad C++ ; la porte dérobée PowHeartBeat PowerShell ; et un chargeur C # de deuxième étape, PNGLoad, qui cache le code dans les fichiers image à l'aide de la stéganographie (bien que les chercheurs n'aient pas encore capturé d'image codée).
Pour la commande et le contrôle, PowHeartBeat utilise actuellement des paquets ICMP pour envoyer des commandes aux systèmes compromis, y compris l'exécution de commandes, l'enregistrement de fichiers et le téléchargement de données.
Bien que le ciblage du logiciel malveillant et l'utilisation de certains exploits courants, tels que l'exploit ProxyShell, qui a été activement utilisé pendant plus d'un an - sont similaires aux groupes existants, d'autres aspects de l'attaque sont uniques, dit Passilly.
"Nous n'avons constaté aucune similitude de code avec des logiciels malveillants déjà connus pour l'instant", déclare-t-il. « Cela signifie qu'ils ont l'exclusivité sur les logiciels malveillants, soit parce qu'ils les fabriquent eux-mêmes, soit parce qu'ils les achètent auprès d'une source fermée ; par conséquent, ils ont la capacité de changer et d'améliorer leurs outils. Compte tenu de leur appétit pour la furtivité et de leur ciblage, leur activité doit être suivie.
Peu de liens vers d'autres groupes
Alors que le groupe Workok a des aspects qui ressemblent TA428, un groupe chinois qui a mené des cyber-opérations contre des nations de la région Asie-Pacifique, les preuves ne sont pas assez solides pour attribuer les attaques au même groupe, dit ESET. Les deux groupes peuvent partager des outils et avoir des objectifs communs, mais ils sont suffisamment distincts pour que leurs opérateurs soient probablement différents, dit Passilly.
« [N] ous avons observé quelques points communs avec TA428, notamment le utilisation de ShadowPad, les similitudes dans le ciblage et leurs temps d'activité », dit-il. «Ces similitudes ne sont pas si importantes; par conséquent, nous relions les deux groupes avec une faible confiance.
Pour les entreprises, l'avis est un avertissement que les attaquants continuent d'innover, dit Passilly. Les entreprises devraient suivre le comportement des groupes de cyberespionnage pour comprendre quand leur secteur pourrait être ciblé par des attaquants.
"La première et la plus importante règle pour se protéger contre les cyberattaques est de maintenir les logiciels à jour afin de réduire la surface d'attaque et d'utiliser plusieurs couches de protection pour empêcher les intrusions", déclare Passilly.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
