Skrivnostna skupina 'Worok' začenja vohunsko prizadevanje z zakrito kodo in zasebnimi orodji

Relativno nova skupina za kibernetsko vohunjenje uporablja zanimiv arzenal orodij in tehnik po meri za ogrozitev podjetij in vlad v jugovzhodni Aziji, na Bližnjem vzhodu in v južni Afriki z napadi, katerih cilj je zbiranje obveščevalnih podatkov od ciljnih organizacij.

Glede na analizo, ki jo je v torek objavilo podjetje za kibernetsko varnost ESET, je značilnost skupine, ki se imenuje Worok, uporaba orodij po meri, ki jih ni bilo mogoče opaziti pri drugih napadih, osredotočenost na cilje v jugovzhodni Aziji in operativne podobnosti s Kitajsko. povezana skupina TA428.

Leta 2020 je skupina napadla telekomunikacijska podjetja, vladne agencije in pomorska podjetja v regiji, preden je vzela večmesečni premor. Ponovno je začel delovati v začetku leta 2022.

ESET izdal nasvet on the group because the company’s researchers have not seen many of the tools used by any other group, says Thibaut Passilly, a malware researcher with ESET and author of the analysis.

“Worok is a group that uses exclusive and new tools to steal data — their targets are worldwide and include private companies, public entities, as well as governmental institutions,” he says. “Their usage of various obfuscation techniques, especially steganography, makes them really unique.”

Worok’s Custom Toolset

Worok nasprotuje novejšemu trendu napadalcev, ki uporabljajo storitve kibernetskega kriminala in orodja za napade na blago, saj so te ponudbe zacvetele na temnem spletu. Proxy-kot-storitev, ki ponuja EvilProxy, na primer, omogoča napadom z lažnim predstavljanjem, da obidejo metode dvofaktorske avtentikacije s sprotnim zajemanjem in spreminjanjem vsebine. Druge skupine so se specializirale za posebne storitve, kot npr posredniki za začetni dostop, ki skupinam, ki jih sponzorira država, in kibernetskim kriminalcem omogočajo dostavo tovora v že ogrožene sisteme.

Worok’s toolset instead consists of an in-house kit. It includes the CLRLoad C++ loader; the PowHeartBeat PowerShell backdoor; and a second-stage C# loader, PNGLoad, that hides code in image files using steganography (although researchers have not yet captured an encoded image).

Za ukazovanje in nadzor PowHeartBeat trenutno uporablja pakete ICMP za izdajanje ukazov ogroženim sistemom, vključno z izvajanjem ukazov, shranjevanjem datotek in nalaganjem podatkov.

Medtem ko ciljanje na zlonamerno programsko opremo in uporaba nekaterih pogostih izkoriščanj — kot npr izkoriščanje ProxyShell, ki se aktivno uporablja več kot eno leto — so podobni obstoječim skupinam, drugi vidiki napada so edinstveni, pravi Passilly.

“We have not seen any code similarity with already known malware for now,” he says. “This means they have exclusivity over malicious software, either because they make it themselves or they buy it from a closed source; hence, they have the ability to change and improve their tools. Considering their appetite for stealthiness and their targeting, their activity must be tracked.”

Nekaj ​​povezav do drugih skupin

Medtem ko ima skupina Worok vidike, ki so podobni TA428, kitajska skupina ki je vodil kibernetske operacije proti državam v azijsko-pacifiški regiji, dokazi niso dovolj trdni, da bi napade pripisali isti skupini, pravi ESET. Dve skupini si lahko delita orodja in imata skupne cilje, vendar sta dovolj različni, da so njuni operaterji verjetno različni, pravi Passilly.

“[W]e have observed a few common points with TA428, especially the uporaba ShadowPad, similarities in the targeting, and their activity times,” he says. “These similarities are not that significant; therefore we link the two groups with low confidence.”

Za podjetja je svetovanje opozorilo, da napadalci nadaljujejo z inovacijami, pravi Passilly. Podjetja bi morala spremljati vedenje skupin za kibernetsko vohunjenje, da bi razumela, kdaj je njihova panoga lahko tarča napadalcev.

“The first and most important rule to protect against cyberattacks is to keep software updated in order to reduce the attack surface, and use multiple layers of protections to prevent intrusions,” Passilly says.