Een relatief nieuwe cyberspionagegroep gebruikt een intrigerend aangepast arsenaal aan tools en technieken om bedrijven en overheden in Zuidoost-Azië, het Midden-Oosten en Zuid-Afrika te compromitteren met aanvallen die gericht zijn op het verzamelen van informatie van gerichte organisaties.
Volgens een analyse die dinsdag door cyberbeveiligingsbedrijf ESET is gepubliceerd, is het kenmerk van de groep, die Worok wordt genoemd, het gebruik van aangepaste tools die niet worden gezien bij andere aanvallen, een focus op doelen in Zuidoost-Azië en operationele overeenkomsten met de Chinese gekoppelde TA428-groep.
In 2020 viel de groep telecommunicatiebedrijven, overheidsinstanties en maritieme bedrijven in de regio aan voordat ze een maandenlange pauze namen. Begin 2022 hervatte het zijn activiteiten.
ESET gaf het advies op de groep omdat de onderzoekers van het bedrijf niet veel van de tools hebben gezien die door een andere groep worden gebruikt, zegt Thibaut Passilly, een malware-onderzoeker bij ESET en auteur van de analyse.
"Worok is een groep die exclusieve en nieuwe tools gebruikt om gegevens te stelen - hun doelen zijn wereldwijd en omvatten particuliere bedrijven, openbare entiteiten en overheidsinstellingen", zegt hij. "Hun gebruik van verschillende verduisteringstechnieken, met name steganografie, maakt ze echt uniek."
De aangepaste toolset van Worok
Worok gaat in tegen de meer recente trend van aanvallers die cybercriminele diensten en middelen voor het aanvallen van goederen gebruiken, aangezien dit aanbod op het Dark Web tot bloei is gekomen. Het proxy-as-a-service aanbod EvilProxy, bijvoorbeeld, laat phishing-aanvallen toe om tweefactorauthenticatiemethoden te omzeilen door content on the fly vast te leggen en aan te passen. Andere groepen hebben zich gespecialiseerd in specifieke diensten zoals: eerste toegangsmakelaars, waarmee door de staat gesponsorde groepen en cybercriminelen payloads kunnen leveren aan reeds gecompromitteerde systemen.
De toolset van Worok bestaat in plaats daarvan uit een interne kit. Het bevat de CLRLoad C++-lader; de PowHeartBeat PowerShell-achterdeur; en een tweede-traps C#-lader, PNGLoad, die code verbergt in afbeeldingsbestanden met behulp van steganografie (hoewel onderzoekers nog geen gecodeerde afbeelding hebben vastgelegd).
Voor commando en controle gebruikt PowHeartBeat momenteel ICMP-pakketten om commando's te geven aan gecompromitteerde systemen, waaronder het uitvoeren van commando's, het opslaan van bestanden en het uploaden van gegevens.
Hoewel de targeting van de malware en het gebruik van enkele veelvoorkomende exploits, zoals: de ProxyShell-exploit, die al meer dan een jaar actief wordt gebruikt - lijken op bestaande groepen, andere aspecten van de aanval zijn uniek, zegt Passilly.
"We hebben tot nu toe geen code-overeenkomst gezien met reeds bekende malware", zegt hij. “Dit betekent dat ze exclusiviteit hebben over kwaadaardige software, hetzij omdat ze het zelf maken of ze kopen het van een gesloten bron; daarom hebben ze het vermogen om hun tools te veranderen en te verbeteren. Gezien hun honger naar heimelijkheid en hun gerichtheid, moet hun activiteit worden gevolgd.”
Weinig links naar andere groepen
Terwijl de Worok-groep aspecten heeft die lijken op TA428, een Chinese groep die cyberoperaties heeft uitgevoerd tegen landen in de regio Azië-Pacific, is het bewijs niet sterk genoeg om de aanvallen toe te schrijven aan dezelfde groep, zegt ESET. De twee groepen kunnen tools delen en gemeenschappelijke doelen hebben, maar ze zijn zo verschillend dat hun operators waarschijnlijk verschillend zijn, zegt Passilly.
"[W]e hebben een paar gemeenschappelijke punten waargenomen met TA428, vooral de" gebruik van ShadowPad, overeenkomsten in de targeting en hun activiteitstijden', zegt hij. “Deze overeenkomsten zijn niet zo significant; daarom koppelen we de twee groepen met weinig vertrouwen.”
Voor bedrijven is het advies een waarschuwing dat aanvallers blijven innoveren, zegt Passilly. Bedrijven moeten het gedrag van cyberspionagegroepen volgen om te begrijpen wanneer hun branche het doelwit kan zijn van aanvallers.
"De eerste en belangrijkste regel om te beschermen tegen cyberaanvallen is om de software up-to-date te houden om het aanvalsoppervlak te verkleinen en meerdere beschermingslagen te gebruiken om indringers te voorkomen", zegt Passilly.
