ایک نسبتاً نیا سائبر جاسوسی گروپ جنوب مشرقی ایشیا، مشرق وسطیٰ اور جنوبی افریقہ میں کمپنیوں اور حکومتوں سے سمجھوتہ کرنے کے لیے ٹولز اور تکنیکوں کے ایک دلچسپ حسب ضرورت ہتھیاروں کا استعمال کر رہا ہے، حملوں کا مقصد ہدف شدہ تنظیموں سے انٹیلی جنس جمع کرنا ہے۔
سائبرسیکیوریٹی فرم ESET کی طرف سے منگل کو شائع ہونے والے ایک تجزیے کے مطابق، گروپ کی پہچان، جسے Worok کا نام دیا گیا ہے، اس کے اپنی مرضی کے ٹولز کا استعمال ہے جو دوسرے حملوں میں نہیں دیکھا جاتا، جنوب مشرقی ایشیا میں اہداف پر توجہ مرکوز کرنا، اور آپریشنل مماثلتیں چین- منسلک TA428 گروپ۔
2020 میں، گروپ نے ایک مہینوں کا وقفہ لینے سے پہلے خطے میں ٹیلی کمیونیکیشن کمپنیوں، سرکاری ایجنسیوں اور میری ٹائم فرموں پر حملہ کیا۔ اس نے 2022 کے آغاز میں دوبارہ کام شروع کیا۔
ESET ایڈوائزری جاری کر دی۔ گروپ پر کیونکہ کمپنی کے محققین نے کسی دوسرے گروپ کی طرف سے استعمال ہونے والے بہت سے ٹولز نہیں دیکھے ہیں، تھیباٹ پاسیلی کہتے ہیں، ESET کے ساتھ ایک میلویئر محقق اور تجزیہ کے مصنف۔
"Worok ایک ایسا گروپ ہے جو ڈیٹا چوری کرنے کے لیے خصوصی اور نئے ٹولز کا استعمال کرتا ہے — ان کے اہداف دنیا بھر میں ہیں اور ان میں نجی کمپنیاں، عوامی اداروں کے ساتھ ساتھ حکومتی ادارے بھی شامل ہیں،" وہ کہتے ہیں۔ "مختلف مبہم تکنیکوں کا ان کا استعمال، خاص طور پر سٹیگنوگرافی، انہیں واقعی منفرد بناتی ہے۔"
ورک کا کسٹم ٹول سیٹ
Worok حملہ آوروں کے سائبر کرائمینل سروسز اور کموڈٹی اٹیک ٹولز کا استعمال کرنے والے حالیہ رجحان کو روکتا ہے کیونکہ یہ پیشکشیں ڈارک ویب پر کھل چکی ہیں۔ مثال کے طور پر EvilProxy پیش کرنے والا پراکسی بطور سروس، فشنگ حملوں کو دو عنصر کی توثیق کے طریقوں کو نظرانداز کرنے کی اجازت دیتا ہے۔ فلائی پر مواد کو کیپچر کرنے اور اس میں ترمیم کرکے۔ دوسرے گروپوں نے مخصوص خدمات میں مہارت حاصل کی ہے جیسے ابتدائی رسائی بروکرز، جو ریاست کے زیر کفالت گروپوں اور سائبر جرائم پیشہ افراد کو پہلے سے سمجھوتہ شدہ سسٹمز کو پے لوڈ فراہم کرنے کی اجازت دیتے ہیں۔
اس کے بجائے وورک کا ٹول سیٹ اندرون خانہ کٹ پر مشتمل ہوتا ہے۔ اس میں CLRLload C++ لوڈر شامل ہے۔ PowHeartBeat پاور شیل بیک ڈور؛ اور دوسرے مرحلے کا C# لوڈر، PNGLoad، جو سٹیگنوگرافی کا استعمال کرتے ہوئے تصویری فائلوں میں کوڈ کو چھپاتا ہے (حالانکہ محققین نے ابھی تک انکوڈ شدہ تصویر نہیں پکڑی ہے)۔
کمانڈ اور کنٹرول کے لیے، PowHeartBeat فی الحال ICMP پیکٹ استعمال کرتا ہے تاکہ کمپرومائزڈ سسٹمز کو کمانڈ جاری کیا جا سکے، بشمول کمانڈز چلانے، فائلوں کو محفوظ کرنا، اور ڈیٹا اپ لوڈ کرنا۔
جبکہ میلویئر کو نشانہ بنانا اور کچھ عام کارناموں کا استعمال - جیسے پراکسی شیل کا استحصال، جو ایک سال سے زیادہ عرصے سے فعال طور پر استعمال کیا جا رہا ہے - موجودہ گروپوں سے ملتے جلتے ہیں، پاسلی کا کہنا ہے کہ حملے کے دیگر پہلو منفرد ہیں۔
"ہم نے ابھی تک پہلے سے معلوم میلویئر کے ساتھ کوئی کوڈ مماثلت نہیں دیکھی ہے،" وہ کہتے ہیں۔ "اس کا مطلب ہے کہ ان کے پاس نقصان دہ سافٹ ویئر پر خصوصیت ہے، یا تو وہ اسے خود بناتے ہیں یا وہ اسے کسی بند ذریعہ سے خریدتے ہیں۔ لہذا، ان کے پاس اپنے آلات کو تبدیل کرنے اور بہتر بنانے کی صلاحیت ہے۔ ان کی چوری کی بھوک اور ان کے ہدف کو مدنظر رکھتے ہوئے، ان کی سرگرمیوں کا سراغ لگانا ضروری ہے۔
دوسرے گروپس کے چند لنکس
جبکہ وورک گروپ میں ایسے پہلو ہیں جو ملتے جلتے ہیں۔ TA428، ایک چینی گروپ ای ایس ای ٹی کا کہنا ہے کہ جس نے ایشیا پیسیفک خطے میں اقوام کے خلاف سائبر آپریشنز کیے ہیں، ثبوت اتنے مضبوط نہیں ہیں کہ ان حملوں کو اسی گروپ سے منسوب کیا جا سکے۔ پاسلی کا کہنا ہے کہ دونوں گروپ ٹولز کا اشتراک کر سکتے ہیں اور ان کے مشترکہ اہداف ہیں، لیکن وہ اتنے الگ ہیں کہ ان کے آپریٹرز ممکنہ طور پر مختلف ہیں۔
"[W]e نے TA428 کے ساتھ کچھ مشترکہ نکات کا مشاہدہ کیا ہے، خاص طور پر شیڈو پیڈ کا استعمال, ھدف بندی میں مماثلت، اور ان کی سرگرمی کے اوقات،" وہ کہتے ہیں۔ "یہ مماثلتیں اتنی اہم نہیں ہیں۔ لہذا ہم دونوں گروپوں کو کم اعتماد کے ساتھ جوڑتے ہیں۔
پاسلی کا کہنا ہے کہ کمپنیوں کے لیے، ایڈوائزری ایک انتباہ ہے کہ حملہ آور اختراع کرتے رہتے ہیں۔ کمپنیوں کو سائبر جاسوسی گروپوں کے رویے کا پتہ لگانا چاہیے تاکہ یہ سمجھ سکیں کہ حملہ آوروں کے ذریعے ان کی صنعت کو کب نشانہ بنایا جا سکتا ہے۔
پاسلی کا کہنا ہے کہ "سائبر حملوں سے حفاظت کا پہلا اور سب سے اہم اصول یہ ہے کہ حملے کی سطح کو کم کرنے کے لیے سافٹ ویئر کو اپ ڈیٹ رکھا جائے، اور دراندازی کو روکنے کے لیے تحفظات کی متعدد پرتوں کا استعمال کیا جائے،" پاسلی کہتے ہیں۔
