Η ομάδα “Worok” κρύβει malware σε εικόνες PNG για να μολύνει τα μηχανήματα των θυμάτων με λογισμικό information-stealing χωρίς να τραβήξει την προσοχή.
Τον Σεπτέμβριο του 2022, οι ερευνητές της Avast επιβεβαίωσαν τα ευρήματα της έρευνας της ESET σχετικά με τη δραστηριότητα της ομάδας Worok.
Η ESET ανέφερε ότι οι στόχοι της ομάδας Worok φαίνεται να είναι άτομα υψηλού προφίλ και κυβερνητικές οντότητες στη Μέση Ανατολή, τη Νοτιοανατολική Ασία και τη Νότια Αφρική. Ωστόσο, δεν έχουν πλήρη ορατότητα όσον αφορά τη μέθοδο επίθεσης της ομάδας.
Η έκθεση της Avast βασίζεται σε νέες πληροφορίες που έχει συλλέξει η εταιρεία σχετικά με τις επιθέσεις της Worok, επιβεβαιώνοντας τις προηγούμενες υποθέσεις της ESET σχετικά με τη φύση των αρχείων PNG.
Απόκρυψη malware σε αρχεία PNG
Αν και δεν είμαστε σίγουροι για το πώς το έκαναν, η Avast πιστεύει ότι η ομάδα Worok πιθανόν χρησιμοποίησε DLL sideloading για να εκτελέσει το CLRLoader malware loader στη μνήμη.
Η ερευνητική ομάδα της Avast βρήκε τέσσερα DLLs που περιέχουν κώδικα CLRLoader σε μηχανήματα που είχαν παραβιαστεί, γεγονός που μας κάνει να πιστεύουμε ότι αυτή είναι η πηγή του προβλήματος.
Στη συνέχεια, το CLRLoader φορτώνει το DLL δεύτερου σταδίου (PNGLoader), το οποίο εξάγει byte που είναι ενσωματωμένα σε αρχεία PNG και τα χρησιμοποιεί για τη συναρμολόγηση δύο executable.
Payload κρυμμένα σε αρχεία PNG
Η στεγανογραφία είναι μια τεχνική για την απόκρυψη κώδικα μέσα σε αρχεία εικόνας που φαίνονται νορμάλ όταν ανοίγονται σε ένα πρόγραμμα προβολής εικόνων.
- Στην περίπτωση της ομάδας Worok, η Avast αναφέρει ότι οι χάκερ χρησιμοποίησαν μια τεχνική που ονομάζεται “least significant bit (LSB) encoding”, η οποία περιλαμβάνει την ενσωμάτωση μικρών τμημάτων κακόβουλου κώδικα στα λιγότερο σημαντικά ψηφία των εικονοστοιχείων μιας εικόνας.
Το πρώτο payload που εξήχθη από αυτά τα bit από το PNGLoader είναι ένα script PowerShell που ούτε η ESET ούτε η Avast μπόρεσαν να ανακτήσουν.
Το δεύτερο payload που είναι κρυμμένο στα αρχεία PNG είναι ένας προσαρμοσμένος info-stealer .NET C# (DropBoxControl) που εκμεταλλεύεται την υπηρεσία hosting αρχείων DropBox για επικοινωνία C2, διαρροή δεδομένων και άλλα.
Ακολουθεί η εικόνα PNG που περιέχει το δεύτερο payload:
Abuse του DropBox
Το malware “DropBoxControl” χρησιμοποιεί το λογαριασμό DropBox ενός δράστη για να λαμβάνει δεδομένα, εντολές ή αρχεία από το μηχάνημα που έχει παραβιαστεί.
Οι εντολές αποθηκεύονται σε κρυπτογραφημένα αρχεία στο repository DropBox του απειλητικού παράγοντα, στο οποίο το malware έχει περιοδική πρόσβαση για να ανακτήσει εκκρεμείς ενέργειες.
Οι διαθέσιμες εντολές είναι οι παρακάτω:
- Εκτέλεση του “cmd /c” με τις δεδομένες παραμέτρους
- Εκκίνηση ενός εκτελέσιμου αρχείου με δεδομένες παραμέτρους
- Download δεδομένων από το DropBox στη συσκευή
- Upload δεδομένων από την συσκευή στο DropBox
- Διαγραφή δεδομένων στη συσκευή του θύματος
- Μετονομασία των δεδομένων στη συσκευή του θύματος
- Exfiltrate πληροφορίες αρχείου από έναν καθορισμένο κατάλογο
- Ορισμός ενός νέου directory για το backdoor
- Εξαγωγή πληροφοριών συστήματος
- Ενημέρωση του configuration του backdoor
Με βάση αυτές τις λειτουργίες, η Worok φαίνεται να είναι μια ομάδα κυβερνοκατασκοπείας που ενδιαφέρεται για το data exfiltration, την πλευρική μετακίνηση και την κατασκοπεία.
Η Avast αναφέρει ότι τα εργαλεία που χρησιμοποιήθηκαν από τις επιθέσεις της Worok δεν είναι διαθέσιμα στο κοινό, οπότε πιθανότατα χρησιμοποιούνται μόνο από την απειλητική ομάδα.