En relativt ny cyberspionasjegruppe bruker et spennende tilpasset arsenal av verktøy og teknikker for å kompromittere selskaper og myndigheter i Sørøst-Asia, Midtøsten og Sør-Afrika, med angrep rettet mot å samle etterretning fra målrettede organisasjoner.
I følge en analyse publisert tirsdag av cybersikkerhetsfirmaet ESET, er kjennetegnet til gruppen, som kalles Worok, bruken av tilpassede verktøy som ikke er sett i andre angrep, fokus på mål i Sørøst-Asia og operasjonelle likheter med Kina- koblet TA428-gruppe.
I 2020 angrep gruppen telekommunikasjonsselskaper, offentlige etater og maritime firmaer i regionen før de tok en måneder lang pause. Det startet driften på nytt i begynnelsen av 2022.
ESET ga meldingen på gruppen fordi selskapets forskere ikke har sett mange av verktøyene som brukes av noen annen gruppe, sier Thibaut Passilly, en malware-forsker med ESET og forfatter av analysen.
"Worok er en gruppe som bruker eksklusive og nye verktøy for å stjele data - deres mål er over hele verden og inkluderer private selskaper, offentlige enheter, så vel som statlige institusjoner," sier han. "Deres bruk av forskjellige obfuskeringsteknikker, spesielt steganografi, gjør dem virkelig unike."
Woroks tilpassede verktøysett
Worok motvirker den nyere trenden med angripere som bruker nettkriminelle tjenester og vareangrepsverktøy ettersom disse tilbudene har blomstret opp på Dark Web. Proxy-som-en-tjenesten som tilbyr EvilProxy, for eksempel, lar phishing-angrep omgå tofaktorautentiseringsmetoder ved å fange og endre innhold på farten. Andre grupper har spesialisert seg på spesifikke tjenester som f.eks innledende tilgangsmeglere, som lar statsstøttede grupper og nettkriminelle levere nyttelast til allerede kompromitterte systemer.
Woroks verktøysett består i stedet av et internt sett. Den inkluderer CLLRoad C++-lasteren; PowHeartBeat PowerShell-bakdøren; og en andre-trinns C#-laster, PNGLoad, som skjuler kode i bildefiler ved hjelp av steganografi (selv om forskere ennå ikke har fanget et kodet bilde).
For kommando og kontroll bruker PowHeartBeat for tiden ICMP-pakker for å utstede kommandoer til kompromitterte systemer, inkludert kjøring av kommandoer, lagring av filer og opplasting av data.
Mens målretting av skadelig programvare og bruk av noen vanlige utnyttelser - som f.eks ProxyShell-utnyttelsen, som har vært aktivt brukt i mer enn et år - ligner på eksisterende grupper, andre aspekter ved angrepet er unike, sier Passilly.
"Vi har ikke sett noen kodelikhet med allerede kjent skadelig programvare for nå," sier han. "Dette betyr at de har eksklusivitet over skadelig programvare, enten fordi de lager det selv eller de kjøper det fra en lukket kilde; derfor har de muligheten til å endre og forbedre verktøyene sine. Tatt i betraktning deres appetitt på sniking og deres målretting, må deres aktivitet spores.»
Noen linker til andre grupper
Mens Worok-gruppen har aspekter som ligner TA428, en kinesisk gruppe som har drevet cyberoperasjoner mot nasjoner i Asia-Stillehavsregionen, er bevisene ikke sterke nok til å tilskrive angrepene til samme gruppe, sier ESET. De to gruppene kan dele verktøy og ha felles mål, men de er forskjellige nok til at operatørene deres sannsynligvis er forskjellige, sier Passilly.
"[Vi har observert noen få vanlige punkter med TA428, spesielt bruk av ShadowPad, likheter i målrettingen og deres aktivitetstider, sier han. «Disse likhetene er ikke så betydelige; derfor kobler vi de to gruppene med lav selvtillit.»
For bedrifter er rådgiveren en advarsel om at angripere fortsetter å innovere, sier Passilly. Bedrifter bør spore oppførselen til cyberspionasjegrupper for å forstå når deres industri kan være målrettet av angripere.
"Den første og viktigste regelen for å beskytte mot nettangrep er å holde programvare oppdatert for å redusere angrepsoverflaten, og bruke flere lag med beskyttelse for å forhindre inntrenging," sier Passilly.
