एक अपेक्षाकृत नया साइबर-जासूसी समूह लक्षित संगठनों से खुफिया जानकारी एकत्र करने के उद्देश्य से हमलों के साथ दक्षिण पूर्व एशिया, मध्य पूर्व और दक्षिणी अफ्रीका में कंपनियों और सरकारों से समझौता करने के लिए उपकरणों और तकनीकों के एक दिलचस्प कस्टम शस्त्रागार का उपयोग कर रहा है।
साइबर सुरक्षा फर्म ईएसईटी द्वारा मंगलवार को प्रकाशित एक विश्लेषण के अनुसार, समूह की पहचान, जिसे वोरोक कहा जाता है, अन्य हमलों में नहीं देखे गए कस्टम टूल का उपयोग, दक्षिण पूर्व एशिया में लक्ष्यों पर ध्यान केंद्रित करना और चीन के लिए परिचालन समानताएं- लिंक्ड TA428 समूह।
2020 में, समूह ने महीने भर का ब्रेक लेने से पहले इस क्षेत्र में दूरसंचार कंपनियों, सरकारी एजेंसियों और समुद्री फर्मों पर हमला किया। इसने 2022 की शुरुआत में परिचालन फिर से शुरू किया।
ESET एडवाइजरी जारी की समूह पर क्योंकि कंपनी के शोधकर्ताओं ने किसी अन्य समूह द्वारा उपयोग किए जाने वाले कई टूल नहीं देखे हैं, ईएसईटी के साथ मैलवेयर शोधकर्ता और विश्लेषण के लेखक थिबॉट पैसिली कहते हैं।
"Worok एक ऐसा समूह है जो डेटा चोरी करने के लिए विशेष और नए टूल का उपयोग करता है - उनके लक्ष्य दुनिया भर में हैं और इसमें निजी कंपनियां, सार्वजनिक संस्थाएं, साथ ही साथ सरकारी संस्थान भी शामिल हैं," वे कहते हैं। "विभिन्न obfuscation तकनीकों, विशेष रूप से स्टेग्नोग्राफ़ी का उनका उपयोग, उन्हें वास्तव में अद्वितीय बनाता है।"
वर्क का कस्टम टूलसेट
साइबर क्रिमिनल सेवाओं और कमोडिटी अटैक टूल्स का उपयोग करने वाले हमलावरों के हालिया चलन को वोरोक ने कम कर दिया क्योंकि ये प्रसाद डार्क वेब पर खिल गए हैं। उदाहरण के लिए, EvilProxy की पेशकश करने वाला प्रॉक्सी-ए-ए-सर्विस, फ़िशिंग हमलों को दो-कारक प्रमाणीकरण विधियों को बायपास करने की अनुमति देता है मक्खी पर सामग्री को कैप्चर और संशोधित करके। अन्य समूहों ने विशिष्ट सेवाओं में विशेषज्ञता प्राप्त की है जैसे कि प्रारंभिक पहुँच दलाल, जो राज्य-प्रायोजित समूहों और साइबर अपराधियों को पहले से समझौता किए गए सिस्टम को पेलोड वितरित करने की अनुमति देता है।
इसके बजाय Worok के टूलसेट में एक इन-हाउस किट होता है। इसमें CLLRLoad C++ लोडर शामिल है; पॉवहार्टबीट पावरशेल पिछले दरवाजे; और दूसरा चरण C# लोडर, PNGLoad, जो स्टेग्नोग्राफ़ी का उपयोग करके छवि फ़ाइलों में कोड छुपाता है (हालांकि शोधकर्ताओं ने अभी तक एक एन्कोडेड छवि पर कब्जा नहीं किया है)।
कमांड और नियंत्रण के लिए, पॉवहार्टबीट वर्तमान में ICMP पैकेट का उपयोग समझौता सिस्टम को कमांड जारी करने के लिए करता है, जिसमें कमांड चलाना, फाइलों को सहेजना और डेटा अपलोड करना शामिल है।
जबकि मैलवेयर का लक्ष्यीकरण और कुछ सामान्य कारनामों का उपयोग - जैसे प्रॉक्सीशेल शोषण, जो सक्रिय रूप से एक वर्ष से अधिक समय से उपयोग किया जा रहा है - मौजूदा समूहों के समान हैं, हमले के अन्य पहलू अद्वितीय हैं, पैसिली कहते हैं।
"हमने अभी के लिए पहले से ज्ञात मैलवेयर के साथ कोई कोड समानता नहीं देखी है," वे कहते हैं। "इसका मतलब है कि उनके पास दुर्भावनापूर्ण सॉफ़्टवेयर पर विशिष्टता है, या तो क्योंकि वे इसे स्वयं बनाते हैं या वे इसे किसी बंद स्रोत से खरीदते हैं; इसलिए, उनके पास अपने उपकरणों को बदलने और सुधारने की क्षमता है। चुपके और उनके लक्ष्यीकरण के लिए उनकी भूख को ध्यान में रखते हुए, उनकी गतिविधि पर नज़र रखी जानी चाहिए।"
अन्य समूहों के लिए कुछ लिंक
जबकि वोरोक समूह के ऐसे पहलू हैं जो मिलते जुलते हैं TA428, एक चीनी समूह ईएसईटी का कहना है कि जिसने एशिया-प्रशांत क्षेत्र में देशों के खिलाफ साइबर ऑपरेशन चलाए हैं, उसी समूह को हमलों का श्रेय देने के लिए सबूत पर्याप्त मजबूत नहीं हैं। पैसिली कहते हैं, दो समूह उपकरण साझा कर सकते हैं और उनके सामान्य लक्ष्य हो सकते हैं, लेकिन वे इतने अलग हैं कि उनके ऑपरेटर अलग-अलग हैं।
"[डब्ल्यू] ई ने TA428 के साथ कुछ सामान्य बिंदुओं का अवलोकन किया है, विशेष रूप से शैडोपैड का उपयोग, लक्ष्यीकरण में समानताएं, और उनकी गतिविधि के समय, ”वे कहते हैं। “ये समानताएँ उतनी महत्वपूर्ण नहीं हैं; इसलिए हम दो समूहों को कम आत्मविश्वास से जोड़ते हैं।"
कंपनियों के लिए, सलाह एक चेतावनी है कि हमलावर नया करना जारी रखते हैं, पैसिली कहते हैं। कंपनियों को यह समझने के लिए साइबर-जासूसी समूहों के व्यवहार को ट्रैक करना चाहिए कि उनके उद्योग को हमलावरों द्वारा कब लक्षित किया जा सकता है।
"साइबर हमले के खिलाफ सुरक्षा के लिए पहला और सबसे महत्वपूर्ण नियम हमले की सतह को कम करने के लिए सॉफ़्टवेयर को अद्यतन रखना है, और घुसपैठ को रोकने के लिए सुरक्षा की कई परतों का उपयोग करना है," पैसिली कहते हैं।
