Um grupo de ciberespionagem relativamente novo está usando um intrigante arsenal personalizado de ferramentas e técnicas para comprometer empresas e governos no sudeste da Ásia, Oriente Médio e sul da África, com ataques destinados a coletar informações de organizações visadas.
De acordo com uma análise publicada na terça-feira pela empresa de segurança cibernética ESET, a marca registrada do grupo, apelidado de Worok, é o uso de ferramentas personalizadas não vistas em outros ataques, foco em alvos no Sudeste Asiático e semelhanças operacionais com a China- grupo TA428 ligado.
Em 2020, o grupo atacou empresas de telecomunicações, agências governamentais e empresas marítimas na região antes de fazer uma pausa de meses. Ele reiniciou as operações no início de 2022.
ESET emitiu o aviso no grupo porque os pesquisadores da empresa não viram muitas das ferramentas usadas por nenhum outro grupo, diz Thibaut Passilly, pesquisador de malware da ESET e autor da análise.
“O Workok é um grupo que usa ferramentas exclusivas e novas para roubar dados – seus alvos são mundiais e incluem empresas privadas, entidades públicas e instituições governamentais”, diz ele. “O uso de várias técnicas de ofuscação, especialmente a esteganografia, os torna realmente únicos.”
Conjunto de ferramentas personalizado do Worok
A Worok contraria a tendência mais recente de invasores usando serviços cibercriminosos e ferramentas de ataque de commodities, pois essas ofertas floresceram na Dark Web. A oferta de proxy como serviço EvilProxy, por exemplo, permite que ataques de phishing ignorem métodos de autenticação de dois fatores capturando e modificando conteúdo em tempo real. Outros grupos se especializaram em serviços específicos, como corretores de acesso inicial, que permitem que grupos patrocinados pelo Estado e cibercriminosos forneçam cargas úteis a sistemas já comprometidos.
O conjunto de ferramentas da Worok consiste em um kit interno. Ele inclui o carregador CLRLoad C++; o backdoor PowHeartBeat PowerShell; e um carregador C# de segundo estágio, PNGLoad, que oculta código em arquivos de imagem usando esteganografia (embora os pesquisadores ainda não tenham capturado uma imagem codificada).
Para comando e controle, o PowHeartBeat atualmente usa pacotes ICMP para emitir comandos para sistemas comprometidos, incluindo executar comandos, salvar arquivos e fazer upload de dados.
Embora o direcionamento do malware e o uso de alguns exploits comuns — como a exploração do ProxyShell, que tem sido usado ativamente por mais de um ano - são semelhantes aos grupos existentes, outros aspectos do ataque são únicos, diz Passilly.
“Não vimos nenhuma semelhança de código com malware já conhecido por enquanto”, diz ele. “Isso significa que eles têm exclusividade sobre softwares maliciosos, seja porque eles mesmos o fabricam ou compram de uma fonte fechada; portanto, eles têm a capacidade de mudar e melhorar suas ferramentas. Considerando seu apetite por furtividade e sua segmentação, sua atividade deve ser rastreada.”
Poucos links para outros grupos
Enquanto o grupo Workok possui aspectos que lembram TA428, um grupo chinês que realizou operações cibernéticas contra nações na região da Ásia-Pacífico, as evidências não são fortes o suficiente para atribuir os ataques ao mesmo grupo, diz a ESET. Os dois grupos podem compartilhar ferramentas e ter objetivos comuns, mas são distintos o suficiente para que seus operadores sejam provavelmente diferentes, diz Passilly.
“[Nós] observamos alguns pontos em comum com o TA428, especialmente o uso do ShadowPad, semelhanças na segmentação e seus tempos de atividade”, diz ele. “Essas semelhanças não são tão significativas; portanto, ligamos os dois grupos com baixa confiança.”
Para as empresas, o aviso é um alerta de que os invasores continuam inovando, diz Passilly. As empresas devem rastrear o comportamento de grupos de espionagem cibernética para entender quando seu setor pode ser alvo de invasores.
“A primeira e mais importante regra para se proteger contra ataques cibernéticos é manter o software atualizado para reduzir a superfície de ataque e usar várias camadas de proteção para evitar invasões”, diz Passilly.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
