Un grup de spionaj cibernetic relativ nou folosește un arsenal personalizat intrigant de instrumente și tehnici pentru a compromite companiile și guvernele din Asia de Sud-Est, Orientul Mijlociu și Africa de Sud, cu atacuri care vizează colectarea informațiilor de la organizațiile vizate.
Potrivit unei analize publicate marți de firma de securitate cibernetică ESET, semnul distinctiv al grupului, numit Worok, este utilizarea instrumentelor personalizate care nu au fost văzute în alte atacuri, concentrarea asupra țintelor din Asia de Sud-Est și asemănările operaționale cu China- grupul TA428 legat.
În 2020, grupul a atacat companii de telecomunicații, agenții guvernamentale și firme maritime din regiune înainte de a lua o pauză de luni de zile. A reluat operațiunile la începutul anului 2022.
ESET a emis avizul pe grup, deoarece cercetătorii companiei nu au văzut multe dintre instrumentele folosite de niciun alt grup, spune Thibaut Passilly, cercetător de malware la ESET și autor al analizei.
„Worok este un grup care folosește instrumente exclusive și noi pentru a fura date – țintele lor sunt la nivel mondial și includ companii private, entități publice, precum și instituții guvernamentale”, spune el. „Folosirea lor a diferitelor tehnici de ofuscare, în special steganografia, le face cu adevărat unice.”
Setul de instrumente personalizat al lui Worok
Worok respinge tendința mai recentă a atacatorilor care folosesc servicii criminale cibernetice și instrumente de atac asupra mărfurilor, deoarece aceste oferte au înflorit pe Dark Web. Oferta de proxy ca serviciu EvilProxy, de exemplu, permite atacurilor de tip phishing să ocolească metodele de autentificare cu doi factori prin captarea și modificarea conținutului din mers. Alte grupuri s-au specializat în servicii specifice precum brokerii de acces inițial, care permit grupurilor sponsorizate de stat și infractorilor cibernetici să livreze încărcături utile către sistemele deja compromise.
Setul de instrumente Worok constă în schimb dintr-un kit intern. Include încărcătorul CLRLoad C++; ușa din spate PowHeartBeat PowerShell; și un încărcător C# din a doua etapă, PNGLoad, care ascunde codul din fișierele imagine folosind steganografie (deși cercetătorii nu au capturat încă o imagine codificată).
Pentru comandă și control, PowHeartBeat utilizează în prezent pachete ICMP pentru a lansa comenzi către sistemele compromise, inclusiv rularea comenzilor, salvarea fișierelor și încărcarea datelor.
În timp ce țintirea malware-ului și utilizarea unor exploit-uri comune - cum ar fi exploitul ProxyShell, care a fost folosit în mod activ de mai bine de un an - sunt similare cu grupurile existente, alte aspecte ale atacului sunt unice, spune Passilly.
„Nu am văzut nicio asemănare de cod cu programele malware deja cunoscute”, spune el. „Acest lucru înseamnă că au exclusivitate față de software-ul rău intenționat, fie pentru că îl fac singuri, fie pentru că îl cumpără dintr-o sursă închisă; prin urmare, au capacitatea de a-și schimba și îmbunătăți instrumentele. Având în vedere apetitul lor pentru ascundere și direcționarea lor, activitatea lor trebuie urmărită.”
Puține link-uri către alte grupuri
În timp ce grupul Worok are aspecte care seamănă TA428, un grup chinez care a desfășurat operațiuni cibernetice împotriva națiunilor din regiunea Asia-Pacific, dovezile nu sunt suficient de puternice pentru a atribui atacurile aceluiași grup, spune ESET. Cele două grupuri pot împărtăși instrumente și au obiective comune, dar sunt suficient de distincte încât operatorii lor sunt probabil diferiți, spune Passilly.
„Am observat câteva puncte comune cu TA428, în special cu utilizarea ShadowPad, asemănări în direcționare și timpii lor de activitate”, spune el. „Aceste asemănări nu sunt atât de semnificative; prin urmare, legăm cele două grupuri cu o încredere scăzută.”
Pentru companii, avizul este un avertisment că atacatorii continuă să inoveze, spune Passilly. Companiile ar trebui să urmărească comportamentul grupurilor de spionaj cibernetic pentru a înțelege când industria lor ar putea fi vizată de atacatori.
„Prima și cea mai importantă regulă pentru a vă proteja împotriva atacurilor cibernetice este să păstrați software-ul actualizat pentru a reduce suprafața de atac și să utilizați mai multe straturi de protecție pentru a preveni intruziunile”, spune Passilly.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
