Un gruppo di cyber-spionaggio relativamente nuovo sta utilizzando un intrigante arsenale personalizzato di strumenti e tecniche per compromettere aziende e governi nel sud-est asiatico, nel Medio Oriente e nell'Africa meridionale, con attacchi volti a raccogliere informazioni da organizzazioni mirate.
Secondo un'analisi pubblicata martedì dalla società di sicurezza informatica ESET, il segno distintivo del gruppo, soprannominato Workok, è l'uso di strumenti personalizzati non visti in altri attacchi, un focus su obiettivi nel sud-est asiatico e somiglianze operative con la Cina- gruppo TA428 collegato.
Nel 2020, il gruppo ha attaccato società di telecomunicazioni, agenzie governative e società marittime della regione prima di prendersi una pausa di mesi. Ha ripreso le operazioni all'inizio del 2022.
ESET ha emesso l'avviso sul gruppo perché i ricercatori dell'azienda non hanno visto molti degli strumenti utilizzati da nessun altro gruppo, afferma Thibaut Passilly, un ricercatore di malware con ESET e autore dell'analisi.
"Worok è un gruppo che utilizza strumenti nuovi e esclusivi per rubare dati: i loro obiettivi sono in tutto il mondo e includono aziende private, enti pubblici e istituzioni governative", afferma. "Il loro uso di varie tecniche di offuscamento, in particolare la steganografia, li rende davvero unici."
Set di strumenti personalizzati di lavoro
Worok contrasta con la tendenza più recente degli aggressori che utilizzano servizi di criminalità informatica e strumenti di attacco alle materie prime poiché queste offerte sono sbocciate sul Dark Web. Il proxy-as-a-service che offre EvilProxy, ad esempio, consente agli attacchi di phishing di aggirare i metodi di autenticazione a due fattori acquisendo e modificando i contenuti al volo. Altri gruppi si sono specializzati in servizi specifici come broker di accesso iniziale, che consentono ai gruppi sponsorizzati dallo stato e ai criminali informatici di fornire carichi utili a sistemi già compromessi.
Il set di strumenti di lavoro invece consiste in un kit interno. Include il caricatore CRLLoad C++; la backdoor di PowHeartBeat PowerShell; e un caricatore C# di secondo stadio, PNGLoad, che nasconde il codice nei file di immagine utilizzando la steganografia (sebbene i ricercatori non abbiano ancora catturato un'immagine codificata).
Per il comando e il controllo, PowHeartBeat attualmente utilizza pacchetti ICMP per inviare comandi a sistemi compromessi, inclusi l'esecuzione di comandi, il salvataggio di file e il caricamento di dati.
Mentre il targeting del malware e l'uso di alcuni exploit comuni, ad esempio l'exploit ProxyShell, che è stato utilizzato attivamente per più di un anno, sono simili ai gruppi esistenti, altri aspetti dell'attacco sono unici, afferma Passilly.
"Per ora non abbiamo riscontrato alcuna somiglianza di codice con malware già noto", afferma. “Ciò significa che hanno l'esclusività sul software dannoso, perché lo producono da soli o lo acquistano da una fonte chiusa; quindi, hanno la capacità di cambiare e migliorare i loro strumenti. Considerando il loro appetito per la furtività e il loro targeting, la loro attività deve essere monitorata".
Pochi collegamenti ad altri gruppi
Mentre il gruppo di lavoro ha aspetti che somigliano TA428, un gruppo cinese che ha condotto operazioni informatiche contro nazioni nella regione Asia-Pacifico, le prove non sono abbastanza forti per attribuire gli attacchi allo stesso gruppo, afferma ESET. I due gruppi possono condividere strumenti e avere obiettivi comuni, ma sono abbastanza distinti che i loro operatori sono probabilmente diversi, afferma Passilly.
“[Abbiamo] osservato alcuni punti in comune con TA428, in particolare il utilizzo di ShadowPad, somiglianze nel targeting e tempi di attività", afferma. “Queste somiglianze non sono così significative; quindi colleghiamo i due gruppi con scarsa confidenza”.
Per le aziende, l'avviso è un avvertimento che gli aggressori continuano a innovare, afferma Passilly. Le aziende dovrebbero monitorare il comportamento dei gruppi di spionaggio informatico per capire quando il loro settore potrebbe essere preso di mira dagli aggressori.
"La prima e più importante regola per proteggersi dagli attacchi informatici è mantenere aggiornato il software per ridurre la superficie di attacco e utilizzare più livelli di protezione per prevenire le intrusioni", afferma Passilly.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
