Egy viszonylag új kiberkémcsoport az eszközök és technikák érdekes, egyedi arzenáljával kompromittálja a vállalatokat és a kormányokat Délkelet-Ázsiában, a Közel-Keleten és Dél-Afrikában, olyan támadásokkal, amelyek célja, hogy titkos információkat gyűjtsenek a megcélzott szervezetektől.
Az ESET kiberbiztonsági cég kedden közzétett elemzése szerint a Worok névre keresztelt csoport jellegzetessége, hogy más támadásoknál nem látott egyedi eszközöket használ, a délkelet-ázsiai célpontokra összpontosít, és működésében hasonlóak a kínai támadásokhoz. kapcsolt TA428 csoport.
2020-ban a csoport távközlési cégeket, kormányzati ügynökségeket és tengerészeti cégeket támadott meg a régióban, mielőtt hónapokig tartó szünetet tartott volna. 2022 elején kezdte újra működését.
ESET kiadta a tanácsot a csoporton, mert a vállalat kutatói nem sok olyan eszközt láttak, amelyet más csoportok használtak – mondja Thibaut Passilly, az ESET malware-kutatója és az elemzés szerzője.
„A Worok egy olyan csoport, amely exkluzív és új eszközöket használ az adatok ellopására – célpontjaik világszerte vannak, magáncégek, állami szervek, valamint kormányzati intézmények is” – mondja. "A különféle homályosítási technikák, különösen a szteganográfia használata igazán egyedivé teszi őket."
A Worok egyedi eszközkészlete
A Worok felszámolja azt az újabb trendet, hogy a támadók kiberbűnözői szolgáltatásokat és árucikkek támadására szolgáló eszközöket használnak, mivel ezek az ajánlatok kivirágoztak a sötét weben. Például az EvilProxy-t kínáló proxy-as-a-service, lehetővé teszi, hogy az adathalász támadások megkerüljék a kéttényezős hitelesítési módszereket a tartalom menet közbeni rögzítésével és módosításával. Más csoportok speciális szolgáltatásokra specializálódtak, mint pl kezdeti hozzáférési brókerek, amelyek lehetővé teszik az államilag támogatott csoportok és kiberbűnözők számára, hogy hasznos terheket szállítsanak a már feltört rendszerekbe.
Ehelyett a Worok eszközkészlete egy házon belüli készletből áll. Tartalmazza a CLLRoad C++ betöltőt; a PowHeartBeat PowerShell hátsó ajtó; és egy második fokozatú C# betöltő, a PNGLoad, amely szteganográfia segítségével rejti el a kódot a képfájlokban (bár a kutatók még nem készítettek kódolt képet).
A vezérléshez a PowHeartBeat jelenleg ICMP-csomagokat használ, hogy parancsokat adjon ki a feltört rendszereknek, beleértve a parancsok futtatását, a fájlok mentését és az adatok feltöltését.
Míg a rosszindulatú program célzása és néhány gyakori kihasználás – mint pl a ProxyShell exploit, amelyeket több mint egy éve aktívan használnak – hasonlóak a meglévő csoportokhoz, a támadás egyéb vonatkozásai egyediek, mondja Passilly.
„Egyelőre nem láttunk kód hasonlóságot a már ismert rosszindulatú programokkal” – mondja. „Ez azt jelenti, hogy kizárólagosságot élveznek a rosszindulatú szoftverekkel szemben, vagy azért, mert maguk készítik, vagy zárt forrásból vásárolják meg; ezért képesek megváltoztatni és javítani eszközeiket. Figyelembe véve a lopakodó étvágyukat és a célzást, tevékenységüket nyomon kell követni.”
Néhány hivatkozás más csoportokhoz
Míg a Worok csoportnak vannak olyan vonatkozásai, amelyek hasonlítanak TA428, egy kínai csoport Az ESET szerint az ázsiai-csendes-óceáni térség nemzetei ellen kiberakciókat indított, a bizonyítékok nem elég erősek ahhoz, hogy a támadásokat ugyanannak a csoportnak tulajdonítsák. A két csoportnak lehetnek közös eszközei, és közös céljaik is lehetnek, de eléggé elkülönülnek egymástól ahhoz, hogy üzemeltetőik valószínűleg eltérőek legyenek, mondja Passilly.
„Megfigyeltünk néhány közös pontot a TA428-nál, különösen a ShadowPad használata, hasonlóságokat a célzásban és azok tevékenységi idejét” – mondja. „Ezek a hasonlóságok nem olyan jelentősek; ezért alacsony bizalommal kapcsoljuk össze a két csoportot.”
A cégek számára ez a tanács arra figyelmeztet, hogy a támadók továbbra is újítanak, mondja Passilly. A vállalatoknak nyomon kell követniük a kiberkémkedési csoportok viselkedését, hogy megértsék, mikor kerülhetnek támadók célpontjai közé az iparáguk.
"A kibertámadások elleni védekezés első és legfontosabb szabálya a szoftver frissítése a támadási felület csökkentése érdekében, és több rétegű védelem alkalmazása a behatolások megelőzése érdekében" - mondja Passilly.
