Відносно нова група кібершпигунства використовує інтригуючий арсенал спеціальних інструментів і методів, щоб скомпрометувати компанії та уряди в Південно-Східній Азії, на Близькому Сході та в Південній Африці, за допомогою атак, спрямованих на збір розвідданих від цільових організацій.
Відповідно до аналізу, опублікованого у вівторок фірмою з кібербезпеки ESET, відмінною рисою групи, яка отримала назву Worok, є використання спеціальних інструментів, яких не було в інших атаках, зосередженість на цілях у Південно-Східній Азії та операційна схожість з Китаєм. пов'язана група TA428.
У 2020 році угруповання атакувало телекомунікаційні компанії, державні установи та морські компанії в регіоні, перш ніж зробити багатомісячну перерву. Він відновив роботу на початку 2022 року.
ESET видав пораду на групу, тому що дослідники компанії не бачили багатьох інструментів, які використовуються будь-якою іншою групою, каже Тібо Пассіллі, дослідник зловмисного програмного забезпечення з ESET і автор аналізу.
«Worok — це група, яка використовує ексклюзивні та нові інструменти для викрадення даних — їхні цілі по всьому світу й включають приватні компанії, державні організації, а також державні установи», — каже він. «Використання ними різноманітних методів обфускації, особливо стеганографії, робить їх дійсно унікальними».
Спеціальний набір інструментів Worok
Worok протидіє нещодавній тенденції використання зловмисниками послуг кіберзлочинців та інструментів атак на товари, оскільки ці пропозиції розквітли в темній мережі. Проксі-як-сервіс, який пропонує EvilProxy, наприклад, дозволяє фішинговим атакам обходити методи двофакторної аутентифікації шляхом захоплення та зміни вмісту на льоту. Інші групи спеціалізуються на конкретних послугах, таких як брокери початкового доступу, які дозволяють спонсорованим державою групам і кіберзлочинцям доставляти корисні дані до вже зламаних систем.
Натомість набір інструментів Worok складається з власного набору. Він включає завантажувач CLRLoad C++; бекдор PowHeartBeat PowerShell; і завантажувач другого етапу C#, PNGLoad, який приховує код у файлах зображень за допомогою стеганографії (хоча дослідники ще не зафіксували закодоване зображення).
Для керування та управління PowHeartBeat наразі використовує пакети ICMP для видачі команд скомпрометованим системам, включаючи виконання команд, збереження файлів і завантаження даних.
Хоча націлювання на зловмисне програмне забезпечення та використання деяких поширених експлойтів, як-от експлойт ProxyShell, яка активно використовується вже більше року — схожі на існуючі угруповання, інші аспекти атаки унікальні, каже Пассілі.
«Поки що ми не бачили жодної схожості коду з уже відомими шкідливими програмами», — каже він. «Це означає, що вони мають виключні права на шкідливе програмне забезпечення, або тому, що вони роблять його самі, або купують із закритого джерела; отже, вони мають можливість змінювати та вдосконалювати свої інструменти. Враховуючи їхню прагнення до скритності та цілеспрямованість, їхню діяльність потрібно відстежувати».
Кілька посилань на інші групи
Хоча група Worok має аспекти, які нагадують TA428, китайська група яка проводила кібероперації проти країн Азіатсько-Тихоокеанського регіону, доказів недостатньо переконливо, щоб приписати атаки тій самій групі, каже ESET. Дві групи можуть мати спільні інструменти та спільні цілі, але вони досить різні, тому їхні оператори, ймовірно, різні, каже Пассіллі.
«[Ми] помітили кілька спільних моментів із TA428, особливо використання ShadowPad, схожість у націлюванні та час їх активності», — говорить він. «Ці подібності не такі значні; тому ми пов’язуємо ці дві групи з низькою впевненістю».
Для компаній ця порада є попередженням про те, що зловмисники продовжують впроваджувати інновації, каже Пасіллі. Компанії повинні відстежувати поведінку груп кібершпигунства, щоб зрозуміти, коли їх галузь може стати мішенню зловмисників.
«Перше і найважливіше правило для захисту від кібератак — це постійно оновлювати програмне забезпечення, щоб зменшити площу атаки, і використовувати кілька рівнів захисту для запобігання вторгненням», — говорить Пассіллі.
