Kelompok spionase siber yang relatif baru menggunakan alat dan teknik khusus yang menarik untuk berkompromi dengan perusahaan dan pemerintah di Asia Tenggara, Timur Tengah, dan Afrika selatan, dengan serangan yang ditujukan untuk mengumpulkan intelijen dari organisasi yang ditargetkan.
Menurut sebuah analisis yang diterbitkan pada hari Selasa oleh perusahaan keamanan siber ESET, ciri khas kelompok yang dijuluki Worok adalah penggunaan alat khusus yang tidak terlihat dalam serangan lain, fokus pada target di Asia Tenggara, dan kesamaan operasional dengan China- grup TA428 terkait.
Pada tahun 2020, kelompok tersebut menyerang perusahaan telekomunikasi, lembaga pemerintah, dan perusahaan maritim di wilayah tersebut sebelum mengambil jeda selama berbulan-bulan. Ini memulai kembali operasi pada awal 2022.
ESET mengeluarkan nasehat pada grup karena peneliti perusahaan belum melihat banyak alat yang digunakan oleh grup lain, kata Thibaut Passilly, peneliti malware dengan ESET dan penulis analisis.
โWorok adalah grup yang menggunakan alat eksklusif dan baru untuk mencuri data โ target mereka ada di seluruh dunia dan mencakup perusahaan swasta, entitas publik, serta lembaga pemerintah,โ katanya. โPenggunaan berbagai teknik kebingungan, terutama steganografi, membuat mereka benar-benar unik.โ
Perangkat Kustom Worok
Worok melawan tren penyerang yang lebih baru menggunakan layanan kejahatan dunia maya dan alat serangan komoditas karena penawaran ini telah berkembang di Web Gelap. Proxy-as-a-service yang menawarkan EvilProxy, misalnya, memungkinkan serangan phishing untuk melewati metode otentikasi dua faktor dengan menangkap dan memodifikasi konten dengan cepat. Kelompok lain memiliki spesialisasi dalam layanan tertentu seperti broker akses awal, yang memungkinkan kelompok dan penjahat dunia maya yang disponsori negara mengirimkan muatan ke sistem yang sudah disusupi.
Perangkat Worok malah terdiri dari kit in-house. Ini termasuk pemuat CLRLoad C++; pintu belakang PowerShell PowHeartBeat; dan pemuat C# tahap kedua, PNGLoad, yang menyembunyikan kode dalam file gambar menggunakan steganografi (walaupun peneliti belum menangkap gambar yang disandikan).
Untuk perintah dan kontrol, PowHeartBeat saat ini menggunakan paket ICMP untuk mengeluarkan perintah ke sistem yang disusupi, termasuk menjalankan perintah, menyimpan file, dan mengunggah data.
Sementara penargetan malware dan penggunaan beberapa eksploitasi umum โ seperti eksploitasi ProxyShell, yang telah aktif digunakan selama lebih dari satu tahun โ mirip dengan kelompok yang ada, aspek lain dari serangan itu unik, kata Passilly.
โKami belum melihat kesamaan kode dengan malware yang sudah dikenal untuk saat ini,โ katanya. โIni berarti mereka memiliki eksklusivitas atas perangkat lunak berbahaya, baik karena mereka membuatnya sendiri atau mereka membelinya dari sumber tertutup; karenanya, mereka memiliki kemampuan untuk mengubah dan meningkatkan alat mereka. Mempertimbangkan selera mereka untuk sembunyi-sembunyi dan penargetan mereka, aktivitas mereka harus dilacak.โ
Beberapa Tautan ke Grup Lain
Sedangkan kelompok Worok memiliki aspek yang menyerupai TA428, grup Cina yang telah menjalankan operasi siber terhadap negara-negara di kawasan Asia-Pasifik, buktinya tidak cukup kuat untuk mengaitkan serangan tersebut dengan kelompok yang sama, kata ESET. Kedua kelompok mungkin berbagi alat dan memiliki tujuan yang sama, tetapi mereka cukup berbeda sehingga operator mereka kemungkinan besar berbeda, kata Passilly.
โ[Kami] telah mengamati beberapa poin umum dengan TA428, terutama penggunaan ShadowPad, kesamaan dalam penargetan, dan waktu aktivitasnya,โ katanya. โKesamaan ini tidak terlalu signifikan; oleh karena itu kami menghubungkan kedua kelompok dengan kepercayaan diri yang rendah.โ
Bagi perusahaan, nasihat tersebut merupakan peringatan bahwa penyerang terus berinovasi, kata Passilly. Perusahaan harus melacak perilaku kelompok spionase dunia maya untuk memahami kapan industri mereka mungkin menjadi sasaran penyerang.
โAturan pertama dan terpenting untuk melindungi dari serangan siber adalah memperbarui perangkat lunak untuk mengurangi permukaan serangan, dan menggunakan perlindungan berlapis untuk mencegah penyusupan,โ kata Passilly.
