Worok 威胁组织的新型攻击技术

关键要点

• ESET 研究人员发现一个名为 Worok 的威胁组织，主要在亚洲对高级电信、银行和地方政府实施针对性攻击。
• Worok 采用未经文档记录的工具和新的混淆技术，称为 CLRLoad、PowHeartBeat 和 PNGLoad。
• 该组织的主要目标是窃取信息，可能会针对任何公共或私人实体。
• 当前的网络安全解决方案可能无法应对 Worok 的创新攻击手法，组织亟需加强对 PowerShell 的管理和审计。

最近，ESET 的研究人员在亚洲发现了一个名为 Worok的新型间谍组织，其使用了未经记录的工具和全新的混淆技术，专门针对高端的电信公司、银行以及地方政府。根据 ESET 在星期二发表的一篇
，Worok这个组织从至少 2020 年就开始活跃。

Worok 的工具集包括一个 C++ 加载器 CLRLoad，一个 PowerShell 后门 PowHeartBeat，以及一个使用隐写术提取 PNG文件中隐藏恶意负载的 C# 加载器 PNGLoad。

ESET 的恶意软件研究员 Thibaut Passilly 表示，Worok 已经针对全球多个行业的公司和公共实体展开了攻击。Passilly提到，Worok 的主要目标是窃取信息，因此任何公共或私营组织都可能成为攻击目标。

“他们的作战方式非常独特，考虑到他们使用的是许多未经记录的混淆技术和工具，” Passilly
说。“这意味着他们可能会进一步增强这些工具集，以便进行更多的网络攻击。”

Vulcan Cyber 的高级技术工程师 Mike Parkin指出，看到新的 部署新工具总是令人兴奋，尽管有些令人不安。他表示，尽管 Worok 这个
APT组织在过去两年内并不完全新鲜，并且目前主要针对亚洲目标，但并不能假设它们不会转向其他地区。“另外，完全有可能会有其他组织从中分裂出来，可能会有完全不同的目标。”

Deep Instinct 的网络安全倡导主任 Chuck Everette 表示，当前这个新 APT攻击与之前的区别在于，它在不断演变，并采用一些不太常见的定制技术。Everette 指出，尽管这些攻击和技术并非不可模仿，但它们显示出攻击者在不断创新。

“他们的混淆技术和多个新加载器的不同之处在于，常见的网络安全解决方案可能会错过这些新威胁，而无需进行再训练和手动特征提取来捕捉这些新技术，”
Everette 说。“这意味着随着新威胁的不断出现，当前的解决方案无法有效防范这些未知威胁，而这需要时间来重新训练，而受害者可没有这样的时间奢侈。虽然
Worok 网络犯罪组织本周攻击了亚洲和非洲的受害者，但这并不意味着他们不能转向其他目标，或者已经这么做了。”

Netenrich 的首席威胁猎人 John Bambenek 进一步指出，高级攻击者的门槛已经显著降低。Bambenek提到，大多数攻击者并不需要开发自己的工具，因为他们可以重复使用其他恶意工具或使用现成资源。

“这一现象也突显了 PowerShell 对威胁参与者的持续有效性，主要的启示是每个组织都需要严格限制 PowerShell 的使用方式，启用
PowerShell 审计，并要求任何 PowerShell 脚本都必须由可信密钥签名，” Bambenek 说。