Относительно новая группа кибершпионажа использует интригующий собственный арсенал инструментов и методов для компрометации компаний и правительств в Юго-Восточной Азии, на Ближнем Востоке и в южной части Африки с помощью атак, направленных на сбор разведданных от целевых организаций.
Согласно анализу, опубликованному во вторник фирмой по кибербезопасности ESET, отличительной чертой группы, получившей название Worok, является использование ею специальных инструментов, не использовавшихся в других атаках, ориентация на цели в Юго-Восточной Азии и операционное сходство с китайской атакой. связанная группа TA428.
В 2020 году группа атаковала телекоммуникационные компании, государственные учреждения и морские фирмы в регионе, после чего взяла многомесячный перерыв. Он возобновил работу в начале 2022 года.
ESET издал рекомендательный на группу, потому что исследователи компании не видели многих инструментов, используемых какой-либо другой группой, говорит Тибо Пассильи, исследователь вредоносного ПО из ESET и автор анализа.
«Worok — это группа, которая использует эксклюзивные и новые инструменты для кражи данных — их цели находятся по всему миру и включают частные компании, государственные организации, а также правительственные учреждения», — говорит он. «Использование ими различных методов запутывания, особенно стеганографии, делает их действительно уникальными».
Пользовательский набор инструментов Workok
Workok противостоит недавней тенденции использования злоумышленниками киберпреступных услуг и стандартных инструментов для атак, поскольку эти предложения расцвели в Даркнете. Прокси как услуга, предлагающая EvilProxy, например, позволяет фишинговым атакам обходить методы двухфакторной аутентификации путем захвата и изменения контента на лету. Другие группы специализируются на конкретных услугах, таких как брокеры начального доступа, которые позволяют спонсируемым государством группам и киберпреступникам доставлять полезную нагрузку в уже скомпрометированные системы.
Вместо этого набор инструментов Workok состоит из внутреннего комплекта. Он включает загрузчик CLRLoad C++; бэкдор PowHeartBeat PowerShell; и второй загрузчик C#, PNGLoad, который скрывает код в файлах изображений с помощью стеганографии (хотя исследователи еще не получили закодированное изображение).
Для управления и контроля PowHeartBeat в настоящее время использует пакеты ICMP для передачи команд скомпрометированным системам, включая выполнение команд, сохранение файлов и загрузку данных.
В то время как нацеливание вредоносного ПО и использование некоторых распространенных эксплойтов, таких как эксплойт ProxyShell, который активно используется уже более года, — аналогичны существующим группам, другие аспекты атаки уникальны, — говорит Пассилли.
«На данный момент мы не обнаружили никакого сходства кода с уже известными вредоносными программами, — говорит он. «Это означает, что у них есть исключительные права на вредоносное ПО, потому что они делают его сами или покупают из закрытого источника; следовательно, у них есть возможность изменять и улучшать свои инструменты. Учитывая их склонность к скрытности и выбор целей, их действия необходимо отслеживать».
Несколько ссылок на другие группы
В то время как у группы Ворок есть аспекты, которые напоминают TA428, китайская группа ESET заявляет, что у нее недостаточно убедительных доказательств, чтобы приписать атаки одной и той же группе. У этих двух групп могут быть общие инструменты и общие цели, но они достаточно различны, чтобы их операторы, вероятно, были разными, говорит Пассилли.
«[Мы] заметили несколько общих моментов с TA428, особенно использование ShadowPad, сходства в таргетинге и времени их активности», — говорит он. «Эти сходства не так значительны; поэтому мы связываем две группы с низкой степенью достоверности».
По словам Пассилли, для компаний это предупреждение является предупреждением о том, что злоумышленники продолжают вводить новшества. Компании должны отслеживать поведение групп кибершпионажа, чтобы понять, когда их отрасль может стать мишенью для злоумышленников.
«Первое и самое важное правило защиты от кибератак — постоянно обновлять программное обеспечение, чтобы уменьшить поверхность атаки, и использовать несколько уровней защиты для предотвращения вторжений», — говорит Пассилли.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
