비교적 새로운 사이버 스파이 그룹이 표적 조직의 정보 수집을 목표로 하는 공격으로 동남아시아, 중동 및 남아프리카의 기업과 정부를 손상시키기 위해 흥미로운 맞춤형 도구와 기술을 사용하고 있습니다.
사이버 보안 회사 ESET이 화요일에 발표한 분석에 따르면 Worok이라는 이름의 이 그룹의 특징은 다른 공격에서 볼 수 없는 사용자 지정 도구를 사용하고 동남아시아의 표적에 초점을 맞추고 중국과의 운영 유사성입니다. 연결된 TA428 그룹.
2020년, 그룹은 몇 달 간의 휴식을 취하기 전에 이 지역의 통신 회사, 정부 기관 및 해양 회사를 공격했습니다. 2022년 초에 운영을 재개했습니다.
ESET 권고를 발표했다 ESET의 맬웨어 연구원이자 분석 작성자인 Thibaut Passilly는 회사의 연구원들이 다른 그룹에서 사용하는 도구를 많이 본 적이 없기 때문에 그룹에 있다고 말했습니다.
"Worok은 독점적이고 새로운 도구를 사용하여 데이터를 훔치는 그룹입니다. 그들의 목표는 전 세계이며 민간 기업, 공공 기관 및 정부 기관을 포함합니다."라고 그는 말합니다. "다양한 난독화 기술, 특히 스테가노그래피를 사용하여 정말 독특합니다."
워록의 커스텀 툴셋
Worok은 사이버 범죄 서비스 및 상품 공격 도구를 사용하는 공격자의 최근 추세를 무시합니다. 예를 들어 EvilProxy를 제공하는 서비스로서의 프록시, 피싱 공격이 XNUMX단계 인증 방법을 우회하도록 허용 즉석에서 콘텐츠를 캡처하고 수정합니다. 다른 그룹은 다음과 같은 특정 서비스를 전문으로 합니다. 초기 액세스 브로커, 국가가 후원하는 그룹과 사이버 범죄자가 이미 손상된 시스템에 페이로드를 전달할 수 있습니다.
대신 Worok의 도구 세트는 사내 키트로 구성됩니다. 여기에는 CLRLoad C++ 로더가 포함됩니다. PowHeartBeat PowerShell 백도어; 스테가노그래피를 사용하여 이미지 파일의 코드를 숨기는 XNUMX단계 C# 로더 PNGLoad(연구원들이 아직 인코딩된 이미지를 캡처하지 않았지만).
명령 및 제어를 위해 PowHeartBeat는 현재 ICMP 패킷을 사용하여 명령 실행, 파일 저장 및 데이터 업로드를 포함하여 손상된 시스템에 명령을 실행합니다.
맬웨어를 대상으로 하고 다음과 같은 몇 가지 일반적인 익스플로잇을 사용하는 동안 ProxyShell 익스플로잇XNUMX년 이상 활발히 사용된 는 기존 그룹과 유사하고 공격의 다른 측면은 독특하다고 Passilly는 말합니다.
그는 "현재로서는 이미 알려진 맬웨어와 코드 유사성을 본 적이 없습니다. “이는 그들이 스스로 만들거나 폐쇄된 소스에서 구매하기 때문에 악성 소프트웨어에 대해 독점권을 갖는다는 것을 의미합니다. 따라서 도구를 변경하고 개선할 수 있는 능력이 있습니다. 은신에 대한 욕구와 표적을 고려할 때 그들의 활동을 추적해야 합니다.”
다른 그룹에 대한 몇 가지 링크
워록 그룹은 비슷한 측면이 있지만 중국 그룹 TA428 ESET은 아시아 태평양 지역 국가를 대상으로 사이버 작전을 수행했지만 동일한 그룹의 공격을 돌릴 만큼 증거가 강력하지 않다고 말했습니다. 두 그룹은 도구를 공유하고 공통 목표를 가질 수 있지만 운영자가 다를 수 있을 정도로 서로 다릅니다.
“[우리]는 TA428, 특히 몇 가지 공통점을 관찰했습니다. 섀도우패드 사용, 타겟팅의 유사성 및 활동 시간"이라고 그는 말합니다. “이러한 유사성은 그다지 중요하지 않습니다. 따라서 우리는 두 그룹을 낮은 신뢰도로 연결합니다."
기업들에게 이번 권고는 공격자들이 계속해서 혁신하고 있다는 경고와도 같다고 파실리는 말했다. 기업은 사이버 스파이 그룹의 행동을 추적하여 해당 산업이 공격자의 표적이 될 수 있는 시점을 파악해야 합니다.
"사이버 공격으로부터 보호하는 가장 중요한 첫 번째 규칙은 공격 표면을 줄이기 위해 소프트웨어를 업데이트하고 침입을 방지하기 위해 여러 보호 계층을 사용하는 것입니다."라고 Passilly는 말합니다.
