Nispeten yeni bir siber casusluk grubu, hedeflenen kuruluşlardan istihbarat toplamayı amaçlayan saldırılarla, Güneydoğu Asya, Orta Doğu ve Güney Afrika'daki şirketleri ve hükümetleri tehlikeye atmak için ilgi çekici özel araç ve tekniklerden oluşan bir cephanelik kullanıyor.
Siber güvenlik firması ESET tarafından Salı günü yayınlanan bir analize göre, Worok adı verilen grubun ayırt edici özelliği, diğer saldırılarda görülmeyen özel araçları kullanması, Güneydoğu Asya'daki hedeflere odaklanması ve Çin ile operasyonel benzerlikleri. bağlantılı TA428 grubu.
Grup, 2020 yılında bir ay ara vermeden önce bölgedeki telekomünikasyon şirketlerine, devlet kurumlarına ve denizcilik firmalarına saldırdı. 2022 yılının başında faaliyetlerine yeniden başladı.
ESET tavsiye belgesini yayınladı ESET'te kötü amaçlı yazılım araştırmacısı ve analizin yazarı Thibaut Passilly, "Şirket araştırmacıları başka herhangi bir grup tarafından kullanılan araçların çoğunu görmediği için grupta yer alıyor" diyor.
"Worok, verileri çalmak için özel ve yeni araçlar kullanan bir grup; hedefleri dünya çapında ve özel şirketleri, kamu kuruluşlarını ve devlet kurumlarını içeriyor" diyor. "Çeşitli gizleme tekniklerini, özellikle de steganografiyi kullanmaları onları gerçekten benzersiz kılıyor."
Worok'un Özel Araç Seti
Worok, siber suç hizmetlerini ve emtia saldırı araçlarını kullanan saldırganların son zamanlardaki eğilimine karşı çıkıyor ve bu teklifler Dark Web'de yaygınlaşıyor. Örneğin, EvilProxy'yi sunan hizmet olarak proxy, Kimlik avı saldırılarının iki faktörlü kimlik doğrulama yöntemlerini atlamasına olanak tanır İçeriği anında yakalayıp değiştirerek. Diğer gruplar aşağıdakiler gibi belirli hizmetlerde uzmanlaşmıştır: ilk erişim aracılarıBu, devlet destekli grupların ve siber suçluların halihazırda güvenliği ihlal edilmiş sistemlere yük taşımasına olanak tanıyor.
Worok'un araç seti bunun yerine şirket içi bir kitten oluşuyor. CRLLoad C++ yükleyicisini içerir; PowHeartBeat PowerShell arka kapısı; ve steganografi kullanarak görüntü dosyalarındaki kodu gizleyen ikinci aşama C# yükleyici PNGLoad (araştırmacılar henüz kodlanmış bir görüntü yakalamamış olsa da).
Komuta ve kontrol için PowHeartBeat şu anda komutları çalıştırma, dosyaları kaydetme ve veri yükleme dahil olmak üzere güvenliği ihlal edilmiş sistemlere komutlar vermek için ICMP paketlerini kullanıyor.
Kötü amaçlı yazılımın hedeflenmesi ve bazı yaygın açıklardan yararlanılması (örneğin, ProxyShell istismarıPassilly, bir yıldan fazla süredir aktif olarak kullanılan saldırıların mevcut gruplara benzediğini, saldırının diğer yönlerinin ise benzersiz olduğunu söylüyor.
"Şimdilik bilinen kötü amaçlı yazılımlarla herhangi bir kod benzerliği görmedik" diyor. “Bu, kötü amaçlı yazılımlar konusunda ayrıcalıklı oldukları anlamına geliyor; çünkü ya bunu kendileri yapıyorlar ya da kapalı bir kaynaktan satın alıyorlar; dolayısıyla araçlarını değiştirme ve geliştirme olanağına sahiptirler. Gizliliğe olan iştahları ve hedeflemeleri göz önüne alındığında, etkinliklerinin takip edilmesi gerekiyor."
Diğer Gruplara Birkaç Bağlantı
Worok grubunun benzer yönleri varken TA428, Çinli bir grup ESET, Asya-Pasifik bölgesindeki ülkelere karşı siber operasyonlar yürüten ESET'in saldırıları aynı gruba atfetmeye yetecek kadar güçlü kanıt olmadığını söylüyor. Passilly, iki grubun araçları paylaşabileceğini ve ortak hedeflere sahip olabileceğini, ancak operatörlerinin muhtemelen farklı olacak kadar farklı olduklarını söylüyor.
"[W]e TA428 ile birkaç ortak nokta gözlemledik, özellikle de ShadowPad'in kullanımı, hedeflemedeki benzerlikler ve etkinlik süreleri" diyor. “Bu benzerlikler o kadar da önemli değil; bu nedenle iki grubu düşük güvenle birbirine bağlıyoruz.”
Passilly, şirketler için tavsiye niteliğindeki uyarının, saldırganların yenilik yapmaya devam ettiğine dair bir uyarı olduğunu söylüyor. Şirketler, sektörlerinin ne zaman saldırganlar tarafından hedef alınabileceğini anlamak için siber casusluk gruplarının davranışlarını izlemelidir.
Passilly, "Siber saldırılara karşı korunmanın ilk ve en önemli kuralı, saldırı yüzeyini azaltmak için yazılımı güncel tutmak ve izinsiz girişleri önlemek için birden fazla koruma katmanı kullanmaktır" diyor.
