ESET: Cyberspionage-Gruppe Worok enttarnt

Eset_News

Beitrag teilen

Ziel der Worok Cyberspionage sind hochrangige Einrichtungen aus den Bereichen Telekommunikation, Banken, Energie, Militär, Regierung und Schifffahrt. Aktuell sind noch Asien, Afrika und im Nahen Osten im Visier der Gruppe.

Mit gezielten Angriffen versucht die Hackergruppe Worok hochrangige Einrichtungen in Asien, Afrika und im Nahen Osten auszuspionieren. Forschern des europäischen Sicherheitsherstellers ESET ist es gelungen, die Aktivitäten der Akteure zu enttarnen und ihre bisher unbekannten Tools zu analysieren. Die Gruppe ist seit 2020 aktiv, aber nach einer längeren Pause seit Februar 2022 wieder verstärkt unterwegs.

Worok nutzt Eigenentwicklungen

Das Arsenal der Hacker besteht aus neuartigen, selbstentwickelten und bereits bekannten Werkzeugen. In einigen Fällen hat die Gruppe die berüchtigten ProxyShell-Schwachstellen in Microsoft Exchange genutzt, um sich einen ersten Zugang zu verschaffen. Zum Einsatz kam hier die mit unterschiedlichen Funktionen ausgerüstete PowerShell-Backdoor PowHeartbeat. Diese ermöglicht die Ausführung von Befehlen und Prozessen sowie das Hoch- und Herunterladen von Dateien.

„Worok ist hinter sensiblen Informationen ihrer Ziele her. Dabei konzentriert sich die Cyberspionage-Gruppe auf hochrangige Einrichtungen hauptsächlich in Asien und Afrika. Die Hacker attackieren hierbei Unternehmen und Organisationen aus verschiedenen Sektoren, der Schwerpunkt liegt aber klar bei Regierungseinrichtungen“, sagt ESET-Forscher Thibaut Passilly, der Worok entdeckt hat. „Mit unserer Analyse wollen wir den Grundstein legen, damit auch andere Forscher die Aktivitäten der Gruppe weiter erforschen und uns einen tieferen Einblick ermöglichen.“

Die Ziele der Spionage-Gruppe

Bereits Ende 2020 hatte es Worok auf Regierungen und Unternehmen in mehreren Ländern abgesehen:

  • Ein Telekommunikationsunternehmen in Ostasien
  • Eine Bank in Zentralasien
  • Ein Unternehmen der maritimen Industrie in Südostasien
  • Eine staatliche Einrichtung im Nahen Osten
  • Ein privates Unternehmen im südlichen Afrika

Von Mai 2021 bis Januar 2022 kam es zu einer längeren Unterbrechung der beobachteten Aktivitäten. Im Februar 2022 kehrte die Gruppe zurück und attackierte:

  • Ein Energieunternehmen in Zentralasien
  • Ein Unternehmen des öffentlichen Sektors in Südostasien

Wer ist Worok?

Die Cyberspionage-Gruppe Worok nutzt eigenentwickelte Tools und bestehende Werkzeuge, um ihre Ziele zu kompromittieren. Dazu zählen unter anderem zwei Loader, CLRLoad und PNGLoad sowie die Backdoor PowHeartBeat. CLRLoad ist ein Loader, der 2021 verwendet, aber 2022 in den meisten Fällen durch PowHeartBeat ersetzt wurde. PNGLoad verwendet Steganografie, um in PNG-Bildern versteckte bösartige Payloads zu rekonstruieren.

Die in PowerShell geschriebene Backdoor PowHeartBeat besitzt einen großen Funktionsumfang, darunter die Ausführung von Befehlen/Prozessen und die Manipulation von Dateien. Sie verschleiert ihr Unwesen mit verschiedenen Techniken wie Komprimierung, Kodierung und Verschlüsselung. PowHeartBeat ist beispielsweise in der Lage, Dateien auf kompromittierte Computer hoch- und herunterzuladen, Dateiinformationen wie Pfad, Länge, Erstellungszeit, Zugriffszeiten und Inhalt an den Command-and-Control-Server zurückzugeben sowie Dateien zu löschen, umzubenennen und zu verschieben.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Forensik realer Cyberangriffe lüftet Taktiken der Angreifer

Detaillierte Untersuchung der vom Sophos Incident Response Team übernommen Fälle macht deutlich, dass Angreifer immer kürzer im infiltrierten Netzwerk verweilen, ➡ Weiterlesen

Ransomware-Gruppe 8base bedroht KMUs

8base ist eine der aktivsten Ransomware-Gruppen. Sie fokussierte sich in diesem Sommer auf kleine und mittlere Unternehmen. Durch niedrige Sicherheitsbudgets ➡ Weiterlesen

ALPHV: Casinos und Hotels in Las Vegas per Hack lahmgelegt

MGM Resorts, ein US-amerikanischer Betreiber von Hotels und Spielcasinos, wurde vor kurzem von einem Ransomware-Angriff heimgesucht, der mehrere Systeme an ➡ Weiterlesen

Cyberbedrohung: Rhysida-Ransomware

Taktiken und Techniken der Rhysida-Ransomware ähneln denen der berüchtigten Ransomware-Bande Vice Society. Experten vermuten, dass Vice Society eine eigene Variante ➡ Weiterlesen

Gastgewerbe: Angriffe auf Buchungsplattform

Cyberkriminelle stahlen die Kreditkartendaten, persönliche Daten und Passwörter der Kunden der Gaststätten-Buchungsplattform IRM-NG. Bitdefender hat aktuelle Forschungsergebnisse einer derzeit laufenden ➡ Weiterlesen

In Post-Quanten-Kryptografie investieren

Schon jetzt setzt Google in seiner aktuellsten Version des Chrome Browsers auf ein quantensicheres Verschlüsselungsverfahren (Post-Quanten-Kryptografie). Unternehmen sollten das ebenfalls ➡ Weiterlesen

Veraltete Systeme: Cyberangriffe auf Gesundheitseinrichtungen

Weltweit waren 78 Prozent der Gesundheitseinrichtungen im letzten Jahr von Cybervorfällen betroffen. Jeder vierte Cyberangriff auf Gesundheitseinrichtungen in Deutschland hat ➡ Weiterlesen

Report: Weltweiter Anstieg der Cyber-Angriffe

Stärkster Anstieg von Cyber-Angriffen in den letzten zwei Jahren. Lockbit3 ist der Spitzenreiter unter den Ransomwares in der ersten Jahreshälfte ➡ Weiterlesen