比較的新しいサイバースパイグループが、興味深い独自のツールと技術を使用して、標的の組織から情報を収集することを目的とした攻撃で、東南アジア、中東、アフリカ南部の企業や政府を侵害しています。
サイバーセキュリティ会社 ESET が火曜日に発表した分析によると、Worok と呼ばれるこのグループの特徴は、他の攻撃では見られないカスタム ツールの使用、東南アジアの標的への焦点、および中国との運用の類似性です。リンクされたTA428グループ。
2020 年、このグループは、数か月にわたる活動を休止する前に、この地域の電気通信会社、政府機関、および海運会社を攻撃しました。 2022 年初頭に操業を再開した。
ESET 勧告を出した ESET のマルウェア研究者で、この分析の著者である Thibaut Passilly は、同社の研究者が他のグループで使用されているツールの多くを見ていないためだと述べています。
「Worok は専用の新しいツールを使用してデータを盗むグループです。彼らの標的は世界中にあり、民間企業、公的機関、政府機関が含まれます」と彼は言います。 「さまざまな難読化技術、特にステガノグラフィーを使用することで、彼らは非常にユニークになっています。」
Worok のカスタム ツールセット
Worok は、攻撃者がサイバー犯罪サービスやコモディティ攻撃ツールを使用するという最近の傾向に逆らっています。これらの製品はダーク Web で広まっています。 たとえば、EvilProxy を提供するサービスとしてのプロキシ フィッシング攻撃が XNUMX 要素認証方法をバイパスできるようにする その場でコンテンツをキャプチャして変更します。 他のグループは、次のような特定のサービスに特化しています。 初期アクセスブローカーこれにより、国家が支援するグループやサイバー犯罪者が、すでに侵害されているシステムにペイロードを配信できるようになります。
代わりに、Worok のツールセットは社内キットで構成されています。 CLRLoad C++ ローダーが含まれています。 PowHeartBeat PowerShell バックドア。 もう XNUMX つは、ステガノグラフィーを使用して画像ファイルにコードを隠す第 XNUMX 段階の C# ローダーである PNGLoad です (ただし、研究者はまだエンコードされた画像をキャプチャしていません)。
コマンド アンド コントロールの場合、PowHeartBeat は現在 ICMP パケットを使用して、侵害されたシステムにコマンドを発行します。これには、コマンドの実行、ファイルの保存、データのアップロードが含まれます。
マルウェアの標的化といくつかの一般的なエクスプロイトの使用- ProxyShell エクスプロイトは、XNUMX 年以上にわたって積極的に使用されてきましたが、既存のグループと似ていますが、攻撃の他の側面は独特である、と Passilly 氏は言います。
「今のところ、既知のマルウェアとコードの類似性は確認されていません」と彼は言います。 「これは、悪意のあるソフトウェアに対して独占権を持っていることを意味します。それは、自分で作成したか、クローズド ソースから購入したためです。 したがって、彼らはツールを変更および改善する能力を持っています。 彼らのステルス性と標的への欲求を考慮すると、彼らの活動を追跡する必要があります。」
他のグループへのリンクが少ない
Worokグループには似た側面がありますが、 TA428、中国のグループ ESET は、アジア太平洋地域の国々に対してサイバー攻撃を行ったが、攻撃を同じグループに帰するほど強力な証拠はない、と ESET は述べている。 XNUMX つのグループはツールを共有し、共通の目標を持っている可能性がありますが、オペレーターが異なる可能性が高いほど十分に異なっている、と Passilly 氏は言います。
「[我々は、TA428 とのいくつかの共通点を観察しました。特に、 シャドーパッドの使い方、ターゲティングの類似点、およびそれらの活動時間」と彼は言います。 これらの類似点はそれほど重要ではありません。 したがって、XNUMX つのグループを低い信頼度で結び付けます。」
企業にとって、この勧告は、攻撃者が革新を続けているという警告である、と Passilly 氏は言います。 企業は、サイバー スパイ グループの行動を追跡して、自社の業界が攻撃者の標的になる時期を把握する必要があります。
「サイバー攻撃から保護するための最初で最も重要なルールは、ソフトウェアを最新の状態に保ち、攻撃対象領域を減らし、複数の保護層を使用して侵入を防ぐことです」と Passilly 氏は言います。
