กลุ่ม 'Worok' ลึกลับเปิดตัวความพยายามในการสอดแนมด้วยรหัสที่สับสนและเครื่องมือส่วนตัว

กลุ่มจารกรรมทางไซเบอร์ที่ค่อนข้างใหม่กำลังใช้เครื่องมือและเทคนิคที่กำหนดเองที่น่าสนใจเพื่อประนีประนอมกับบริษัทและรัฐบาลในเอเชียตะวันออกเฉียงใต้ ตะวันออกกลาง และแอฟริกาตอนใต้ โดยมีเป้าหมายเพื่อรวบรวมข้อมูลข่าวกรองจากองค์กรที่เป็นเป้าหมาย

จากการวิเคราะห์ที่เผยแพร่เมื่อวันอังคารโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ ESET จุดเด่นของกลุ่มซึ่งเรียกว่า Worok คือการใช้เครื่องมือแบบกำหนดเองที่ไม่เคยเห็นในการโจมตีอื่น ๆ การมุ่งเน้นไปที่เป้าหมายในเอเชียตะวันออกเฉียงใต้ และการดำเนินงานที่คล้ายคลึงกันกับจีน- เชื่อมโยงกลุ่ม TA428

ในปี 2020 กลุ่มบริษัทโจมตีบริษัทโทรคมนาคม หน่วยงานราชการ และบริษัทเดินเรือในภูมิภาคก่อนที่จะหยุดพักยาวหลายเดือน เริ่มดำเนินการใหม่เมื่อต้นปี 2022

ESET ออกที่ปรึกษา ในกลุ่มเนื่องจากนักวิจัยของบริษัทยังไม่เคยเห็นเครื่องมือจำนวนมากที่ใช้โดยกลุ่มอื่น Thibaut Passilly นักวิจัยมัลแวร์ของ ESET และผู้เขียนบทวิเคราะห์กล่าว

“Worok เป็นกลุ่มที่ใช้เครื่องมือพิเศษและใหม่ในการขโมยข้อมูล เป้าหมายของพวกเขาคือทั่วโลกและรวมถึงบริษัทเอกชน หน่วยงานสาธารณะ และสถาบันของรัฐ” เขากล่าว “การใช้เทคนิคการทำให้งงงวยต่างๆ โดยเฉพาะอย่างยิ่ง Steganography ทำให้พวกเขามีเอกลักษณ์เฉพาะตัวจริงๆ”

ชุดเครื่องมือที่กำหนดเองของ Worok

Worok เอาชนะแนวโน้มล่าสุดของผู้โจมตีที่ใช้บริการอาชญากรไซเบอร์และเครื่องมือโจมตีสินค้าโภคภัณฑ์เนื่องจากข้อเสนอเหล่านี้เบ่งบานบน Dark Web บริการ proxy-as-a-service ที่เสนอ EvilProxy เช่น ช่วยให้การโจมตีแบบฟิชชิ่งสามารถเลี่ยงวิธีการตรวจสอบสิทธิ์แบบสองปัจจัยได้ โดยการจับภาพและแก้ไขเนื้อหาได้ทันที กลุ่มอื่นๆ มีความเชี่ยวชาญเฉพาะด้าน เช่น โบรกเกอร์การเข้าถึงเบื้องต้นซึ่งช่วยให้กลุ่มที่ได้รับการสนับสนุนจากรัฐและอาชญากรไซเบอร์สามารถส่งข้อมูลไปยังระบบที่ถูกบุกรุกได้

ชุดเครื่องมือของ Worok ประกอบด้วยชุดอุปกรณ์ภายในแทน ประกอบด้วยตัวโหลด CLRLoad C++; แบ็คดอร์ PowHeartBeat PowerShell; และ PNGLoad ตัวโหลด C# ระยะที่สองที่ซ่อนโค้ดในไฟล์รูปภาพโดยใช้การสะกดรอยตาม (แม้ว่านักวิจัยยังไม่ได้จับภาพที่เข้ารหัส)

สำหรับคำสั่งและการควบคุม ปัจจุบัน PowHeartBeat ใช้แพ็กเก็ต ICMP เพื่อออกคำสั่งไปยังระบบที่ถูกบุกรุก รวมถึงการรันคำสั่ง การบันทึกไฟล์ และการอัปโหลดข้อมูล

ในขณะที่การกำหนดเป้าหมายของมัลแวร์และการใช้ช่องโหว่ทั่วไปบางอย่าง — เช่น การใช้ประโยชน์จาก ProxyShellซึ่งถูกใช้อย่างแข็งขันมานานกว่าหนึ่งปีแล้ว — คล้ายกับกลุ่มที่มีอยู่, ด้านอื่น ๆ ของการโจมตีนั้นมีเอกลักษณ์เฉพาะ Passilly กล่าว

“เรายังไม่เห็นโค้ดที่คล้ายคลึงกันกับมัลแวร์ที่รู้จักอยู่แล้วในตอนนี้” เขากล่าว “นี่หมายความว่าพวกเขามีความพิเศษเหนือซอฟต์แวร์ที่เป็นอันตราย อาจเป็นเพราะพวกเขาสร้างขึ้นเองหรือซื้อจากแหล่งปิด จึงสามารถเปลี่ยนแปลงและปรับปรุงเครื่องมือของตนได้ เมื่อพิจารณาถึงความกระหายในการซ่อนเร้นและการกำหนดเป้าหมาย กิจกรรมของพวกเขาจะต้องถูกติดตาม”

ลิงค์ไปยังกลุ่มอื่น ๆ ไม่กี่แห่ง

ในขณะที่กลุ่ม Worok มีแง่มุมที่คล้ายคลึงกัน TA428 กลุ่มชาวจีน ที่ได้ดำเนินการไซเบอร์กับประเทศต่างๆ ในภูมิภาคเอเชียแปซิฟิก หลักฐานไม่แข็งแรงพอที่จะระบุการโจมตีไปยังกลุ่มเดียวกัน ESET กล่าว ทั้งสองกลุ่มอาจใช้เครื่องมือร่วมกันและมีเป้าหมายร่วมกัน แต่ก็มีความชัดเจนเพียงพอที่ผู้ปฏิบัติงานจะมีความแตกต่างกัน Passilly กล่าว

“[W]e ได้สังเกตจุดร่วมสองสามจุดกับ TA428 โดยเฉพาะอย่างยิ่ง การใช้ ShadowPadความคล้ายคลึงกันในการกำหนดเป้าหมาย และเวลากิจกรรม” เขากล่าว “ความคล้ายคลึงกันเหล่านี้ไม่สำคัญนัก ดังนั้นเราจึงเชื่อมโยงทั้งสองกลุ่มด้วยความมั่นใจต่ำ”

สำหรับบริษัทต่างๆ คำแนะนำนี้เป็นคำเตือนว่าผู้โจมตียังคงสร้างสรรค์สิ่งใหม่ๆ ต่อไป Passilly กล่าว บริษัทต่างๆ ควรติดตามพฤติกรรมของกลุ่มจารกรรมทางไซเบอร์เพื่อทำความเข้าใจว่าอุตสาหกรรมของพวกเขาอาจถูกโจมตีโดยผู้โจมตีเมื่อใด

“กฎข้อแรกและสำคัญที่สุดในการป้องกันการโจมตีทางไซเบอร์คือการอัปเดตซอฟต์แวร์อยู่เสมอ เพื่อลดพื้นผิวการโจมตี และใช้การป้องกันหลายชั้นเพื่อป้องกันการบุกรุก” Passilly กล่าว