Tajemnicza grupa „Worok” uruchamia szpiegostwo z ukrytym kodem i prywatnymi narzędziami

Stosunkowo nowa grupa cyberszpiegowska korzysta z intrygującego, niestandardowego arsenału narzędzi i technik, aby skompromitować firmy i rządy w Azji Południowo-Wschodniej, na Bliskim Wschodzie i w Afryce Południowej, przeprowadzając ataki mające na celu zbieranie danych wywiadowczych od zaatakowanych organizacji.

Według analizy opublikowanej we wtorek przez firmę ESET zajmującą się cyberbezpieczeństwem, znakiem rozpoznawczym grupy, która nosi nazwę Worok, jest używanie niestandardowych narzędzi, których nie widziano w innych atakach, skupienie się na celach w Azji Południowo-Wschodniej oraz podobieństwa operacyjne do Chin. połączona grupa TA428.

W 2020 r. grupa zaatakowała firmy telekomunikacyjne, agencje rządowe i firmy morskie w regionie, zanim zrobiła miesięczną przerwę. Wznowiła działalność na początku 2022 roku.

ESET wydał zalecenie na grupę, ponieważ badacze firmy nie widzieli wielu narzędzi wykorzystywanych przez żadną inną grupę, mówi Thibaut Passilly, badacz złośliwego oprogramowania z ESET i autor analizy.

„Worok to grupa, która wykorzystuje ekskluzywne i nowe narzędzia do kradzieży danych — ich cele są na całym świecie i obejmują prywatne firmy, podmioty publiczne, a także instytucje rządowe” – mówi. „Wykorzystanie przez nich różnych technik zaciemniania, zwłaszcza steganografii, czyni je naprawdę wyjątkowymi”.

Niestandardowy zestaw narzędzi Woroka

Worok przeciwstawia się niedawnemu trendowi ataków wykorzystujących usługi cyberprzestępcze i narzędzia do ataków towarowych, ponieważ te oferty rozkwitły w Dark Web. Proxy jako usługa oferująca EvilProxy, na przykład, pozwala atakom phishingowym ominąć metody uwierzytelniania dwuskładnikowego poprzez przechwytywanie i modyfikowanie treści na bieżąco. Inne grupy wyspecjalizowały się w określonych usługach, takich jak: brokerzy dostępu początkowego, które umożliwiają sponsorowanym przez państwo grupom i cyberprzestępcom dostarczanie ładunków do już zaatakowanych systemów.

Zestaw narzędzi Woroka zamiast tego składa się z zestawu wewnętrznego. Zawiera program ładujący CLRLoad C++; backdoor PowHeartBeat PowerShell; oraz program ładujący C# drugiego etapu, PNGLoad, który ukrywa kod w plikach graficznych za pomocą steganografii (chociaż badacze nie przechwycili jeszcze zakodowanego obrazu).

Na potrzeby poleceń i kontroli PowHeartBeat używa obecnie pakietów ICMP do wydawania poleceń zaatakowanym systemom, w tym uruchamiania poleceń, zapisywania plików i przesyłania danych.

Podczas gdy celowanie złośliwego oprogramowania i wykorzystywanie niektórych popularnych exploitów — takich jak exploit ProxyShell, które są aktywnie wykorzystywane od ponad roku — są podobne do istniejących grup, inne aspekty ataku są wyjątkowe, mówi Passilly.

„Na razie nie zaobserwowaliśmy żadnego podobieństwa kodu do znanego już złośliwego oprogramowania”, mówi. „Oznacza to, że mają wyłączność na złośliwe oprogramowanie, ponieważ sami je tworzą lub kupują z zamkniętego źródła; w związku z tym mają możliwość zmiany i ulepszania swoich narzędzi. Biorąc pod uwagę ich apetyt na ukrywanie się i celowanie, ich aktywność musi być śledzona.

Kilka linków do innych grup

Podczas gdy grupa Worok ma aspekty, które przypominają TA428, chińska grupa który przeprowadził cyberoperacje przeciwko narodom w regionie Azji i Pacyfiku, dowody nie są wystarczająco mocne, aby przypisać ataki tej samej grupie, mówi ESET. Obie grupy mogą mieć wspólne narzędzia i mieć wspólne cele, ale są na tyle różne, że ich operatorzy są prawdopodobnie różni, mówi Passilly.

„[Zaobserwowaliśmy] kilka wspólnych punktów z TA428, zwłaszcza korzystanie z ShadowPada, podobieństwa w kierowaniu i czasy ich aktywności” – mówi. „Te podobieństwa nie są aż tak znaczące; dlatego łączymy te dwie grupy z niską pewnością.”

Zdaniem Passilly dla firm to ostrzeżenie jest ostrzeżeniem, że napastnicy nadal wprowadzają innowacje. Firmy powinny śledzić zachowanie grup cyberszpiegowskich, aby zrozumieć, kiedy ich branża może być celem ataków.

„Pierwszą i najważniejszą zasadą ochrony przed cyberatakami jest aktualizowanie oprogramowania w celu zmniejszenia powierzchni ataku i stosowanie wielu warstw zabezpieczeń w celu zapobiegania włamaniom” — mówi Passilly.