Ziel der Worok Cyberspionage sind hochrangige Einrichtungen aus den Bereichen Telekommunikation, Banken, Energie, Militär, Regierung und Schifffahrt. Aktuell sind noch Asien, Afrika und im Nahen Osten im Visier der Gruppe.
Mit gezielten Angriffen versucht die Hackergruppe Worok hochrangige Einrichtungen in Asien, Afrika und im Nahen Osten auszuspionieren. Forschern des europäischen Sicherheitsherstellers ESET ist es gelungen, die Aktivitäten der Akteure zu enttarnen und ihre bisher unbekannten Tools zu analysieren. Die Gruppe ist seit 2020 aktiv, aber nach einer längeren Pause seit Februar 2022 wieder verstärkt unterwegs.
Worok nutzt Eigenentwicklungen
Das Arsenal der Hacker besteht aus neuartigen, selbstentwickelten und bereits bekannten Werkzeugen. In einigen Fällen hat die Gruppe die berüchtigten ProxyShell-Schwachstellen in Microsoft Exchange genutzt, um sich einen ersten Zugang zu verschaffen. Zum Einsatz kam hier die mit unterschiedlichen Funktionen ausgerüstete PowerShell-Backdoor PowHeartbeat. Diese ermöglicht die Ausführung von Befehlen und Prozessen sowie das Hoch- und Herunterladen von Dateien.
„Worok ist hinter sensiblen Informationen ihrer Ziele her. Dabei konzentriert sich die Cyberspionage-Gruppe auf hochrangige Einrichtungen hauptsächlich in Asien und Afrika. Die Hacker attackieren hierbei Unternehmen und Organisationen aus verschiedenen Sektoren, der Schwerpunkt liegt aber klar bei Regierungseinrichtungen“, sagt ESET-Forscher Thibaut Passilly, der Worok entdeckt hat. „Mit unserer Analyse wollen wir den Grundstein legen, damit auch andere Forscher die Aktivitäten der Gruppe weiter erforschen und uns einen tieferen Einblick ermöglichen.“
Die Ziele der Spionage-Gruppe
Bereits Ende 2020 hatte es Worok auf Regierungen und Unternehmen in mehreren Ländern abgesehen:
- Ein Telekommunikationsunternehmen in Ostasien
- Eine Bank in Zentralasien
- Ein Unternehmen der maritimen Industrie in Südostasien
- Eine staatliche Einrichtung im Nahen Osten
- Ein privates Unternehmen im südlichen Afrika
Von Mai 2021 bis Januar 2022 kam es zu einer längeren Unterbrechung der beobachteten Aktivitäten. Im Februar 2022 kehrte die Gruppe zurück und attackierte:
- Ein Energieunternehmen in Zentralasien
- Ein Unternehmen des öffentlichen Sektors in Südostasien
Wer ist Worok?
Die Cyberspionage-Gruppe Worok nutzt eigenentwickelte Tools und bestehende Werkzeuge, um ihre Ziele zu kompromittieren. Dazu zählen unter anderem zwei Loader, CLRLoad und PNGLoad sowie die Backdoor PowHeartBeat. CLRLoad ist ein Loader, der 2021 verwendet, aber 2022 in den meisten Fällen durch PowHeartBeat ersetzt wurde. PNGLoad verwendet Steganografie, um in PNG-Bildern versteckte bösartige Payloads zu rekonstruieren.
Die in PowerShell geschriebene Backdoor PowHeartBeat besitzt einen großen Funktionsumfang, darunter die Ausführung von Befehlen/Prozessen und die Manipulation von Dateien. Sie verschleiert ihr Unwesen mit verschiedenen Techniken wie Komprimierung, Kodierung und Verschlüsselung. PowHeartBeat ist beispielsweise in der Lage, Dateien auf kompromittierte Computer hoch- und herunterzuladen, Dateiinformationen wie Pfad, Länge, Erstellungszeit, Zugriffszeiten und Inhalt an den Command-and-Control-Server zurückzugeben sowie Dateien zu löschen, umzubenennen und zu verschieben.
Mehr bei ESET.com
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.