一个相对较新的网络间谍组织正在使用有趣的定制工具和技术库来破坏东南亚、中东和南部非洲的公司和政府,其攻击旨在从目标组织收集情报。
根据网络安全公司 ESET 周二发布的一项分析,该组织被称为 Worok,其标志是使用其他攻击中没有的自定义工具,专注于东南亚的目标,以及与中国的操作相似之处-连接的 TA428 组。
2020 年,该组织袭击了该地区的电信公司、政府机构和海事公司,然后休息了几个月。 它于 2022 年初重新开始运营。
ESET 发布了咨询 ESET 的恶意软件研究员和该分析的作者 Thibaut Passilly 说,因为该公司的研究人员没有看到任何其他组织使用的许多工具。
“Worok 是一个使用独家和新工具来窃取数据的团体——他们的目标是全球性的,包括私营公司、公共实体以及政府机构,”他说。 “他们对各种混淆技术的使用,尤其是隐写术,使它们非常独特。”
Workok 的自定义工具集
Worok 与最近攻击者使用网络犯罪服务和商品攻击工具的趋势背道而驰,因为这些产品在暗网上蓬勃发展。 例如,提供 EvilProxy 的代理即服务, 允许网络钓鱼攻击绕过双重身份验证方法 通过即时捕获和修改内容。 其他团体专门从事特定服务,例如 初始访问代理,它允许国家资助的团体和网络犯罪分子将有效载荷传送到已经受到攻击的系统。
Worok 的工具集由一个内部工具包组成。 它包括 CLRLoad C++ 加载器; PowHeartBeat PowerShell 后门; 以及第二阶段的 C# 加载器 PNGLoad,它使用隐写术将代码隐藏在图像文件中(尽管研究人员尚未捕获编码图像)。
对于命令和控制,PowHeartBeat 目前使用 ICMP 数据包向受感染的系统发出命令,包括运行命令、保存文件和上传数据。
虽然恶意软件的目标和使用一些常见的漏洞 - 例如 ProxyShell 漏洞利用Passilly 说,已经积极使用了一年多的攻击与现有的组相似,攻击的其他方面是独一无二的。
“我们目前还没有看到与已知恶意软件有任何代码相似之处,”他说。 “这意味着他们对恶意软件拥有排他性,要么是因为他们自己制作,要么是从封闭来源购买; 因此,他们有能力改变和改进他们的工具。 考虑到他们对隐身的兴趣和目标,必须跟踪他们的活动。”
与其他组的链接很少
虽然 Worok 组有类似的方面 TA428,中国组 ESET 表示,该组织已经针对亚太地区的国家开展了网络行动,但证据不足以将这些攻击归咎于同一组织。 Passilly 说,这两个小组可能共享工具并有共同的目标,但他们的区别足够大,以至于他们的操作员可能不同。
“[W]e 观察到了 TA428 的一些共同点,尤其是 ShadowPad的使用、定位的相似性以及它们的活动时间,”他说。 “这些相似之处并不那么重要; 因此,我们以低信心将这两个群体联系起来。”
Passilly 说,对于公司而言,该警告是对攻击者继续创新的警告。 公司应跟踪网络间谍组织的行为,以了解其行业何时可能成为攻击者的目标。
“防止网络攻击的首要和最重要的规则是保持软件更新以减少攻击面,并使用多层保护来防止入侵,”Passilly 说。
