ESET: Cyberspionage-Gruppe Worok enttarnt

Eset_News
Anzeige

Beitrag teilen

Ziel der Worok Cyberspionage sind hochrangige Einrichtungen aus den Bereichen Telekommunikation, Banken, Energie, Militär, Regierung und Schifffahrt. Aktuell sind noch Asien, Afrika und im Nahen Osten im Visier der Gruppe.

Mit gezielten Angriffen versucht die Hackergruppe Worok hochrangige Einrichtungen in Asien, Afrika und im Nahen Osten auszuspionieren. Forschern des europäischen Sicherheitsherstellers ESET ist es gelungen, die Aktivitäten der Akteure zu enttarnen und ihre bisher unbekannten Tools zu analysieren. Die Gruppe ist seit 2020 aktiv, aber nach einer längeren Pause seit Februar 2022 wieder verstärkt unterwegs.

Anzeige

Worok nutzt Eigenentwicklungen

Das Arsenal der Hacker besteht aus neuartigen, selbstentwickelten und bereits bekannten Werkzeugen. In einigen Fällen hat die Gruppe die berüchtigten ProxyShell-Schwachstellen in Microsoft Exchange genutzt, um sich einen ersten Zugang zu verschaffen. Zum Einsatz kam hier die mit unterschiedlichen Funktionen ausgerüstete PowerShell-Backdoor PowHeartbeat. Diese ermöglicht die Ausführung von Befehlen und Prozessen sowie das Hoch- und Herunterladen von Dateien.

„Worok ist hinter sensiblen Informationen ihrer Ziele her. Dabei konzentriert sich die Cyberspionage-Gruppe auf hochrangige Einrichtungen hauptsächlich in Asien und Afrika. Die Hacker attackieren hierbei Unternehmen und Organisationen aus verschiedenen Sektoren, der Schwerpunkt liegt aber klar bei Regierungseinrichtungen“, sagt ESET-Forscher Thibaut Passilly, der Worok entdeckt hat. „Mit unserer Analyse wollen wir den Grundstein legen, damit auch andere Forscher die Aktivitäten der Gruppe weiter erforschen und uns einen tieferen Einblick ermöglichen.“

Anzeige

Die Ziele der Spionage-Gruppe

Bereits Ende 2020 hatte es Worok auf Regierungen und Unternehmen in mehreren Ländern abgesehen:

  • Ein Telekommunikationsunternehmen in Ostasien
  • Eine Bank in Zentralasien
  • Ein Unternehmen der maritimen Industrie in Südostasien
  • Eine staatliche Einrichtung im Nahen Osten
  • Ein privates Unternehmen im südlichen Afrika

Von Mai 2021 bis Januar 2022 kam es zu einer längeren Unterbrechung der beobachteten Aktivitäten. Im Februar 2022 kehrte die Gruppe zurück und attackierte:

  • Ein Energieunternehmen in Zentralasien
  • Ein Unternehmen des öffentlichen Sektors in Südostasien

Wer ist Worok?

Die Cyberspionage-Gruppe Worok nutzt eigenentwickelte Tools und bestehende Werkzeuge, um ihre Ziele zu kompromittieren. Dazu zählen unter anderem zwei Loader, CLRLoad und PNGLoad sowie die Backdoor PowHeartBeat. CLRLoad ist ein Loader, der 2021 verwendet, aber 2022 in den meisten Fällen durch PowHeartBeat ersetzt wurde. PNGLoad verwendet Steganografie, um in PNG-Bildern versteckte bösartige Payloads zu rekonstruieren.

Die in PowerShell geschriebene Backdoor PowHeartBeat besitzt einen großen Funktionsumfang, darunter die Ausführung von Befehlen/Prozessen und die Manipulation von Dateien. Sie verschleiert ihr Unwesen mit verschiedenen Techniken wie Komprimierung, Kodierung und Verschlüsselung. PowHeartBeat ist beispielsweise in der Lage, Dateien auf kompromittierte Computer hoch- und herunterzuladen, Dateiinformationen wie Pfad, Länge, Erstellungszeit, Zugriffszeiten und Inhalt an den Command-and-Control-Server zurückzugeben sowie Dateien zu löschen, umzubenennen und zu verschieben.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

SAP-Patches schließen schwerwiegende Sicherheitslücken

An seinem Patch-Day hat SAP eine Liste mit 19 neuen Sicherheitslücken und passenden Updates veröffentlicht. Das ist auch nötig, denn ➡ Weiterlesen

Lazarus: Neue Backdoor gegen Ziele in Europa 

Die durch viele Angriffe bekannte APT-Gruppe Lazarus setzt eine neue Backdoor Malware auch gegen Ziele in Europa ein. Der Einsatzzwecke ➡ Weiterlesen

Kritische Schwachstellen bei Lexmark-Druckern

Der Hersteller von Unternehmensdruckern Lexmark muss erneut seine Nutzer vor kritischen Schwachstellen warnen. In dutzenden seiner Modelle sind in der ➡ Weiterlesen

ALPHV will Kamerahersteller Ring gehackt haben

Der Anbieter Ring versorgt neben vielen privaten Anwendern auch kleine Unternehmen mit Kameras, Überwachungssystemen und Videotürklingeln. Nun findet sich die ➡ Weiterlesen

BSI warnt: Ausnutzung einer Schwachstelle in MS Outlook

Das BSI warnt vor einer Schwachstelle in Outlook die anscheinend bereits aktiv ausgenutzt wird. Der CVSS-Wert der Schwachstelle liegt bei ➡ Weiterlesen

Backdoor: Chinesische Hackergruppe attackiert Europa

Die chinesische Hackergruppe Mustang Panda forciert ihre Angriffe auf Ziele in Europa, Australien und Taiwan. Forscher des IT-Sicherheitsherstellers ESET deckten ➡ Weiterlesen

Verbesserte Security-Lösung für Mac-Rechner

Der IT-Sicherheitshersteller ESET hat seine neueste Version von ESET Cyber Security für macOS vorgestellt. Die Security-Lösung für Mac-Rechner besitzt zahlreiche ➡ Weiterlesen

AV-TEST verleiht 27 Awards an die besten Security-Produkte

Das Magdeburger Institut AV-TEST verleiht 27 Awards an 14 Unternehmen in der Security-Branche für besonders gute Produkte für private Nutzer ➡ Weiterlesen