En relativt ny cyberspionagegrupp använder en spännande anpassad arsenal av verktyg och tekniker för att kompromissa företag och regeringar i Sydostasien, Mellanöstern och södra Afrika, med attacker som syftar till att samla in underrättelser från riktade organisationer.
Enligt en analys som publicerades på tisdagen av cybersäkerhetsföretaget ESET, är kännetecknet för gruppen, som kallas Worok, dess användning av anpassade verktyg som inte setts i andra attacker, fokus på mål i Sydostasien och operativa likheter med Kina- länkad TA428-grupp.
År 2020 attackerade gruppen telekommunikationsföretag, statliga myndigheter och sjöfartsföretag i regionen innan de tog en månader lång paus. Den återupptog sin verksamhet i början av 2022.
ESET utfärdade rådgivandet på gruppen eftersom företagets forskare inte har sett många av verktygen som används av någon annan grupp, säger Thibaut Passilly, en malware-forskare med ESET och författare till analysen.
"Worok är en grupp som använder exklusiva och nya verktyg för att stjäla data - deras mål är globala och inkluderar privata företag, offentliga enheter, såväl som statliga institutioner", säger han. "Deras användning av olika obfuskeringstekniker, särskilt steganografi, gör dem verkligen unika."
Woroks anpassade verktygsuppsättning
Worok satsar på den nyare trenden att angripare använder cyberkriminella tjänster och råvaruattackverktyg eftersom dessa erbjudanden har blommat ut på Dark Web. Den proxy-som-en-tjänst som erbjuder EvilProxy, till exempel, tillåter nätfiskeattacker att kringgå tvåfaktorsautentiseringsmetoder genom att fånga och ändra innehåll i farten. Andra grupper har specialiserat sig på specifika tjänster som t.ex första tillgång mäklare, som tillåter statligt sponsrade grupper och cyberkriminella att leverera nyttolaster till redan komprometterade system.
Woroks verktygssats består istället av ett internt kit. Den inkluderar CLLRoad C++-lastaren; PowHeartBeat PowerShell-bakdörren; och en andra-stegs C#-laddare, PNGLoad, som döljer kod i bildfiler med hjälp av steganografi (även om forskare ännu inte har fångat en kodad bild).
För kommando och kontroll använder PowHeartBeat för närvarande ICMP-paket för att utfärda kommandon till komprometterade system, inklusive att köra kommandon, spara filer och ladda upp data.
Medan inriktningen på skadlig programvara och användningen av några vanliga utnyttjande — som t.ex ProxyShell-utnyttjandet, som har använts aktivt i mer än ett år — liknar befintliga grupper, andra aspekter av attacken är unika, säger Passilly.
"Vi har inte sett någon kodlikhet med redan känd skadlig programvara för nu," säger han. "Detta betyder att de har exklusivitet över skadlig programvara, antingen för att de gör det själva eller för att de köper det från en stängd källa; därför har de förmågan att förändra och förbättra sina verktyg. Med tanke på deras aptit på smyghet och deras inriktning måste deras aktivitet spåras.”
Några länkar till andra grupper
Medan Worok-gruppen har aspekter som liknar TA428, en kinesisk grupp som har drivit cyberoperationer mot nationer i Asien-Stillahavsområdet, bevisen är inte tillräckligt starka för att tillskriva attackerna till samma grupp, säger ESET. De två grupperna kan dela verktyg och ha gemensamma mål, men de är tillräckligt tydliga för att deras operatörer sannolikt är olika, säger Passilly.
"[vi] har observerat några gemensamma punkter med TA428, särskilt användning av ShadowPad, likheter i inriktningen och deras aktivitetstider, säger han. ”Dessa likheter är inte så betydande; därför kopplar vi ihop de två grupperna med lågt självförtroende.”
För företag är rådgivandet en varning om att angripare fortsätter att förnya sig, säger Passilly. Företag bör spåra beteendet hos cyberspionagegrupper för att förstå när deras bransch kan bli föremål för angripare.
"Den första och viktigaste regeln för att skydda mot cyberattacker är att hålla mjukvaran uppdaterad för att minska attackytan och använda flera lager av skydd för att förhindra intrång", säger Passilly.
