新发现网络(新发现的网络间谍团队的目标是亚洲相关部门和公司)

Posted 2023-05-28

篇首语：缥帙各舒散，前后互相逾。本文由小常识网(cha138.com)小编为大家整理，主要介绍了新发现网络(新发现的网络间谍团队的目标是亚洲相关部门和公司)相关的知识，希望对你有一定的参考价值。

新发现网络(新发现的网络间谍团队的目标是亚洲相关部门和公司)

自2020年以来，一个网络间谍组织一直以亚洲各地的部门机构和知名企业为目标，利用微软Exchange中臭名昭著的ProxyShell漏洞获得初始访问权限。

根据ESET的说法，被称为Worok的船员可能与TA428有关，ta 428被认为是一个类似的组织。

2021年初，在ProxyShell(CVE-2021-34523)的漏洞被揭露后，网络安全软件厂商的威胁情报研究人员看到了一系列高级持续威胁(APT)团体的活动，其中一个与TA428有一些相似之处，如共同的活动时间、目标的垂直方向以及利用ShadowPad进行的许多间谍活动中使用的后门。

但是，该组织使用的其他工具与TA428使用的工具不同。

ESET的恶意软件研究员Thibaut Passilly在周二的一份报告中写道:“我们认为这些联系不足以将Worok视为与TA428相同的群体，但这两个群体可能共享工具，有共同的兴趣。”。"我们决定创建一个集群，并将其命名为工作."

研究人员随后通过使用同一工具的变体，将其他攻击与Worok联系起来，并得出结论，该组织自2020年底以来一直存在，并且仍然活跃。

Worok的工具集包括C++加载器CLRLoad；PowHeartBeat，PowerShell后门；还有PNGLoad，一个C#。NET loader，它使用隐写术(将一个消息隐藏在另一个消息中)从PNG文件中提取隐藏的恶意负载。

帕西格利写道:“考虑到目标的个人数据和我们看到的为这些受害者部署的工具，我们认为Worok的主要目标是窃取信息。”。

2020年底，该集团瞄准了东亚的一家电信公司、中亚的一家银行和东南亚的一家航运公司。在中东还有一个实体，在南部非洲有一个私人公司。

2021年5月至1月，Worok的活动暂停，之后又回来攻击中亚的一家能源公司和东南亚的一家公共部门实体。

虽然在2021年和2022年的一些案例中利用了ProxyShell漏洞，但在大多数情况下，间谍组织如何获得受害者网络的初始访问权限仍是未知的。在这些情况下，Webshell在利用漏洞后被上传，以确保其在受损网络中的持久性。

Passigli说，一旦进入，Worok操作员就使用各种公开可用的工具，如Mimikatz、蚯蚓、ReGerog和NBTscan，进行侦察。然后，该组织部署其定制恶意软件，包括第一阶段加载程序。最初，用C++编写的通用窗口CLRLoad加载下一阶段PNGLoad，它必须是公共语言运行时(CLR)程序集DLL文件。

他写道:“(PNGLoad)代码是从一个合法目录下的磁盘上的一个文件中加载的，可能是通过使用隐写术来误导受害者或事件响应者，让他们认为这是一个合法的软件。”。

在2022年的后续攻击中，PowHeartBeat替换了用PowerShell编写的全功能后门CRLLoad，通过压缩、编码、加密等技术用于混淆。它也用于启动PNGLoad。

此外，PowHeartBeat对日志和其他配置文件的内容进行加密，并且可以删除、重命名或移动文件。它还通过ICMP与命令和控制(C2)服务器通信，最初通过HTTP，后来通过PowHeartBeat版。据Passigli称，在这两种情况下，通信都没有加密。

然而，目前还不清楚最终的有效载荷是什么。

帕西格利写道，“我们拿不到样本。与PNGLoad一起使用的png文件，但png load的操作方式表明它应该与有效的png文件一起使用。。“为了隐藏恶意有效载荷，Worok在C#中使用了位图对象，这些对象只从文件中获取像素信息，而不是文件元数据。这意味着Worok可以将其恶意有效载荷隐藏在有效且无害的PNG图像中，从而隐藏在普通人的视线中。”

ESET认为Worok是一个网络间谍组织，基于其在亚洲和非洲的高调目标以及对实体的重视。虽然它可能与TA428有关，但评估的可信度较低。

最近，今年早些时候，TA428是东欧和阿富汗一系列网络间谍攻击的幕后黑手。卡巴斯基的研究人员在上个月的一份报告中表示，该组织的目标是白俄罗斯、俄罗斯和乌克兰等国的工业工厂、研究所和机构。