Một nhóm gián điệp mạng tương đối mới đang sử dụng một kho công cụ và kỹ thuật tùy chỉnh hấp dẫn để xâm phạm các công ty và chính phủ ở Đông Nam Á, Trung Đông và Nam Phi, bằng các cuộc tấn công nhằm thu thập thông tin tình báo từ các tổ chức được nhắm mục tiêu.
Theo một phân tích được công bố vào thứ Ba bởi công ty an ninh mạng ESET, dấu hiệu nổi bật của nhóm, được gọi là Worok, là việc sử dụng các công cụ tùy chỉnh không được thấy trong các cuộc tấn công khác, tập trung vào các mục tiêu ở Đông Nam Á và hoạt động tương tự như Trung Quốc- liên kết nhóm TA428.
Vào năm 2020, tập đoàn này đã tấn công các công ty viễn thông, cơ quan chính phủ và các công ty hàng hải trong khu vực trước khi tạm nghỉ kéo dài một tháng. Nó bắt đầu lại hoạt động vào đầu năm 2022.
ESET đưa ra lời khuyên Thibaut Passilly, nhà nghiên cứu phần mềm độc hại của ESET và là tác giả của phân tích, cho biết trong nhóm vì các nhà nghiên cứu của công ty chưa thấy nhiều công cụ được sử dụng bởi bất kỳ nhóm nào khác.
“Worok là một nhóm sử dụng các công cụ mới và độc quyền để đánh cắp dữ liệu — mục tiêu của họ là trên toàn thế giới và bao gồm các công ty tư nhân, tổ chức công cộng cũng như các tổ chức chính phủ,” ông nói. “Việc họ sử dụng nhiều kỹ thuật che giấu khác nhau, đặc biệt là kỹ thuật giấu tin, khiến chúng thực sự độc đáo.”
Bộ công cụ tùy chỉnh của Workok
Worok đánh giá cao xu hướng gần đây của những kẻ tấn công sử dụng các dịch vụ tội phạm mạng và các công cụ tấn công hàng hóa khi những dịch vụ này đã nở rộ trên Dark Web. Ví dụ: proxy-as-a-service cung cấp EvilProxy, cho phép các cuộc tấn công lừa đảo vượt qua các phương pháp xác thực hai yếu tố bằng cách nắm bắt và sửa đổi nội dung một cách nhanh chóng. Các nhóm khác chuyên về các dịch vụ cụ thể như môi giới truy cập ban đầu, cho phép các nhóm được nhà nước bảo trợ và tội phạm mạng chuyển tải trọng đến các hệ thống đã bị xâm phạm.
Thay vào đó, bộ công cụ của Worok bao gồm một bộ công cụ nội bộ. Nó bao gồm trình tải CLRLoad C++; cửa hậu PowHeartBeat PowerShell; và trình tải C# giai đoạn thứ hai, PNGLoad, ẩn mã trong tệp hình ảnh bằng phương pháp steganography (mặc dù các nhà nghiên cứu vẫn chưa chụp được hình ảnh được mã hóa).
Đối với lệnh và điều khiển, PowHeartBeat hiện đang sử dụng các gói ICMP để đưa ra lệnh cho các hệ thống bị xâm phạm, bao gồm các lệnh đang chạy, lưu tệp và tải lên dữ liệu.
Trong khi việc nhắm mục tiêu phần mềm độc hại và sử dụng một số khai thác phổ biến - chẳng hạn như khai thác ProxyShell, đã được sử dụng tích cực trong hơn một năm - tương tự như các nhóm hiện có, các khía cạnh khác của cuộc tấn công là duy nhất, Passilly nói.
Ông nói: “Hiện tại, chúng tôi chưa thấy bất kỳ sự tương đồng nào về mã với phần mềm độc hại đã được biết đến”. “Điều này có nghĩa là họ có độc quyền đối với phần mềm độc hại, vì họ tự tạo ra phần mềm đó hoặc mua nó từ một nguồn đóng; do đó, họ có khả năng thay đổi và cải tiến công cụ của mình. Xét đến sở thích lén lút và mục tiêu của chúng, hoạt động của chúng phải bị theo dõi.”
Một vài liên kết đến các nhóm khác
Trong khi nhóm Worok có các khía cạnh giống với TA428, một nhóm người Trung Quốc ESET cho biết đã thực hiện các hoạt động mạng chống lại các quốc gia trong khu vực Châu Á - Thái Bình Dương, bằng chứng không đủ mạnh để quy các cuộc tấn công vào cùng một nhóm, ESET nói. Hai nhóm có thể chia sẻ các công cụ và có các mục tiêu chung, nhưng chúng đủ khác biệt để các nhà điều hành của chúng có thể khác nhau, Passilly nói.
“[W]e đã quan sát thấy một số điểm chung với TA428, đặc biệt là sử dụng ShadowPad, những điểm tương đồng trong mục tiêu và thời gian hoạt động của chúng,” ông nói. “Những điểm tương đồng này không đáng kể; do đó chúng tôi liên kết hai nhóm với độ tin cậy thấp.”
Đối với các công ty, lời khuyên là một lời cảnh báo rằng những kẻ tấn công tiếp tục đổi mới, Passilly nói. Các công ty nên theo dõi hành vi của các nhóm gián điệp mạng để biết khi nào ngành của họ có thể bị nhắm mục tiêu bởi những kẻ tấn công.
Passilly cho biết: “Quy tắc đầu tiên và quan trọng nhất để bảo vệ khỏi các cuộc tấn công mạng là luôn cập nhật phần mềm để giảm bề mặt tấn công và sử dụng nhiều lớp bảo vệ để ngăn chặn sự xâm nhập”.
