קבוצת ריגול סייבר חדשה יחסית משתמשת בארסנל מותאם אישית מסקרן של כלים וטכניקות כדי לסכן חברות וממשלות בדרום מזרח אסיה, המזרח התיכון ודרום אפריקה, עם התקפות שמטרתן איסוף מודיעין מארגונים ממוקדים.
על פי ניתוח שפרסמה ביום שלישי חברת אבטחת הסייבר ESET, סימן ההיכר של הקבוצה, המכונה Worok, הוא השימוש שלה בכלים מותאמים אישית שלא נראו בהתקפות אחרות, התמקדות ביעדים בדרום מזרח אסיה, ודמיון תפעולי לסין- קבוצת TA428 מקושרת.
בשנת 2020, הקבוצה תקפה חברות תקשורת, סוכנויות ממשלתיות וחברות ימיות באזור לפני שלקחה הפסקה של חודשים. היא החלה לפעול מחדש בתחילת 2022.
ESET הוציא את הייעוץ על הקבוצה כי חוקרי החברה לא ראו רבים מהכלים שבהם השתמשו אף קבוצה אחרת, אומר Thibaut Passilly, חוקר תוכנות זדוניות עם ESET ומחבר הניתוח.
"Worok היא קבוצה שמשתמשת בכלים בלעדיים וחדשים כדי לגנוב נתונים - היעדים שלהם הם ברחבי העולם וכוללים חברות פרטיות, גופים ציבוריים, כמו גם מוסדות ממשלתיים", הוא אומר. "השימוש שלהם בטכניקות ערפול שונות, במיוחד סטגנוגרפיה, הופך אותם לייחודיים באמת."
ערכת הכלים המותאמים אישית של Worok
Worok מתנשא על המגמה העדכנית יותר של תוקפים המשתמשים בשירותי פושעי סייבר ובכלי התקפת סחורות, מכיוון שההצעות הללו פרחו ברשת האפלה. ה-proxy-as-a-service מציע את EvilProxy, למשל, מאפשר להתקפות דיוג לעקוף שיטות אימות דו-גורמי על ידי לכידה ושינוי של תוכן תוך כדי תנועה. קבוצות אחרות התמחו בשירותים ספציפיים כגון מתווכים גישה ראשונית, המאפשרים לקבוצות ולפושעי סייבר בחסות המדינה להעביר מטענים למערכות שכבר נפגעו.
ערכת הכלים של Worok במקום מורכבת מערכה פנימית. הוא כולל את מטעין CLRLoad C++; הדלת האחורית של PowHeartBeat PowerShell; ומטען C# בשלב שני, PNGLoad, שמסתיר קוד בקבצי תמונה באמצעות סטגנוגרפיה (למרות שחוקרים עדיין לא תפסו תמונה מקודדת).
עבור פקודה ובקרה, PowHeartBeat משתמשת כיום במנות ICMP כדי להנפיק פקודות למערכות שנפגעו, כולל הפעלת פקודות, שמירת קבצים והעלאת נתונים.
בעוד המיקוד של התוכנה הזדונית והשימוש בכמה ניצולים נפוצים - כגון הניצול של ProxyShell, שנמצא בשימוש פעיל במשך יותר משנה - דומים לקבוצות קיימות, היבטים אחרים של המתקפה הם ייחודיים, אומר פאסילי.
"לא ראינו שום דמיון בקוד עם תוכנות זדוניות ידועות כבר עכשיו", הוא אומר. "זה אומר שיש להם בלעדיות על תוכנה זדונית, או בגלל שהם מייצרים אותה בעצמם או שהם קונים אותה ממקור סגור; לפיכך, יש להם את היכולת לשנות ולשפר את הכלים שלהם. בהתחשב בתאבון שלהם להתגנבות ולמיקוד שלהם, יש לעקוב אחר הפעילות שלהם".
כמה קישורים לקבוצות אחרות
בעוד לקבוצת וורוק יש היבטים הדומים TA428, קבוצה סינית שהפעילה פעולות סייבר נגד מדינות באזור אסיה-פסיפיק, הראיות אינן חזקות מספיק כדי לייחס את ההתקפות לאותה קבוצה, אומר ESET. שתי הקבוצות עשויות לחלוק כלים ויש להן מטרות משותפות, אבל הן מספיק שונות כדי שהמפעילים שלהן יהיו שונים, אומר פאסילי.
"[אנחנו] צפינו בכמה נקודות משותפות עם TA428, במיוחד שימוש ב-ShadowPad, קווי דמיון במיקוד וזמני הפעילות שלהם", הוא אומר. "הדמיון הזה לא כזה משמעותי; לכן אנו מקשרים בין שתי הקבוצות עם ביטחון נמוך".
עבור חברות, הייעוץ הוא אזהרה שהתוקפים ממשיכים לחדש, אומר פאסילי. חברות צריכות לעקוב אחר ההתנהגות של קבוצות ריגול סייבר כדי להבין מתי התעשייה שלהן עשויה להיות ממוקדת על ידי תוקפים.
"הכלל הראשון והחשוב ביותר להגנה מפני התקפות סייבר הוא לעדכן את התוכנה על מנת לצמצם את משטח ההתקפה, ולהשתמש במספר שכבות של הגנות כדי למנוע חדירות", אומר פאסילי.
