Nispeten yeni bir siber casusluk grubu, Güneydoğu Asya, Orta Doğu ve Güney Afrika’daki şirketleri ve hükümetleri hedeflenen kuruluşlardan istihbarat toplamayı amaçlayan saldırılarla tehlikeye atmak için ilgi çekici bir özel araç ve teknik cephaneliği kullanıyor.
Siber güvenlik firması ESET tarafından Salı günü yayınlanan bir analize göre, Worok olarak adlandırılan grubun ayırt edici özelliği, diğer saldırılarda görülmeyen özel araçları kullanması, Güneydoğu Asya’daki hedeflere odaklanması ve Çin ile operasyonel benzerlikleri. bağlantılı TA428 grubu.
2020’de grup, aylarca ara vermeden önce bölgedeki telekomünikasyon şirketlerine, devlet kurumlarına ve denizcilik firmalarına saldırdı. 2022 yılı başında faaliyetlerine yeniden başlamıştır.
ESET tavsiye yayınladı ESET’te kötü amaçlı yazılım araştırmacısı ve analizin yazarı Thibaut Passilly, şirketin araştırmacılarının başka hiçbir grup tarafından kullanılan araçların çoğunu görmedikleri için gruptan söz etmediklerini söylüyor.
“Worok, verileri çalmak için özel ve yeni araçlar kullanan bir gruptur – hedefleri dünya çapındadır ve özel şirketleri, kamu kurumlarını ve devlet kurumlarını içerir” diyor. “Çeşitli şaşırtma tekniklerini, özellikle steganografiyi kullanmaları onları gerçekten eşsiz kılıyor.”
Worok’un Özel Araç Seti
Worok, bu teklifler Dark Web’de çiçek açarken, siber suç hizmetleri ve emtia saldırı araçları kullanan saldırganların daha yeni eğilimini karşılıyor. Örneğin, EvilProxy sunan bir hizmet olarak proxy, içeriği anında yakalayıp değiştirerek kimlik avı saldırılarının iki faktörlü kimlik doğrulama yöntemlerini atlamasına olanak tanır. Diğer gruplar, devlet destekli grupların ve siber suçluların halihazırda güvenliği ihlal edilmiş sistemlere yük teslim etmesine izin veren ilk erişim aracıları gibi belirli hizmetlerde uzmanlaşmıştır.
Worok’un araç seti bunun yerine bir şirket içi kitten oluşur. CLRLoad C++ yükleyicisini içerir; PowHeartBeat PowerShell arka kapısı; ve steganografi kullanarak görüntü dosyalarındaki kodu gizleyen (araştırmacılar henüz kodlanmış bir görüntü yakalamamış olsa da) ikinci aşama C# yükleyici PNGLoad.
Komuta ve kontrol için, PowHeartBeat şu anda, komutları çalıştırma, dosyaları kaydetme ve veri yükleme dahil olmak üzere, güvenliği ihlal edilmiş sistemlere komutlar vermek için ICMP paketlerini kullanıyor.
Passilly, kötü amaçlı yazılımın hedeflenmesi ve bir yıldan uzun süredir aktif olarak kullanılan ProxyShell istismarı gibi bazı yaygın istismarların kullanımı mevcut gruplara benzer olsa da, saldırının diğer yönleri benzersizdir, diyor Passilly.
“Şimdilik bilinen kötü amaçlı yazılımlarla herhangi bir kod benzerliği görmedik” diyor. “Bu, kötü niyetli yazılımlar üzerinde münhasırlığa sahip oldukları anlamına gelir, çünkü ya kendileri yaparlar ya da kapalı bir kaynaktan satın alırlar; bu nedenle araçlarını değiştirme ve geliştirme yeteneğine sahiptirler. Gizlilik ve hedefleme konusundaki iştahları göz önüne alındığında, faaliyetleri olmalıdır. izlenecek.”
Diğer Gruplara Birkaç Bağlantı
Worok grubunun benzer yönleri olsa da TA428, Çinli bir grup ESET, Asya-Pasifik bölgesindeki uluslara karşı siber operasyonlar yürüttüğü için kanıtların saldırıları aynı gruba atfetmek için yeterince güçlü olmadığını söylüyor. Passilly, iki grubun araçları paylaşabilir ve ortak hedefleri olabilir, ancak operatörleri muhtemelen farklı olacak kadar farklıdırlar.
“[W]TA428 ile birkaç ortak nokta gözlemledim, özellikle ShadowPad kullanımı, hedeflemedeki benzerlikler ve etkinlik süreleri,” diyor ve ekliyor: “Bu benzerlikler o kadar da önemli değil; bu nedenle iki grubu düşük güvenle birbirine bağlarız.”
Passilly, şirketler için tavsiyenin saldırganların yenilik yapmaya devam ettiğine dair bir uyarı olduğunu söylüyor. Şirketler, sektörlerinin ne zaman saldırganlar tarafından hedef alınabileceğini anlamak için siber casusluk gruplarının davranışlarını izlemelidir.
Passilly, “Siber saldırılara karşı korunmanın ilk ve en önemli kuralı, saldırı yüzeyini azaltmak için yazılımı güncel tutmak ve izinsiz girişleri önlemek için birden çok koruma katmanı kullanmaktır” diyor.