ESET: साइबर जासूसी समूह वर्कोक का पर्दाफाश

वर्कोक साइबर जासूसी के लक्ष्य दूरसंचार, बैंकिंग, ऊर्जा, सैन्य, सरकार और शिपिंग क्षेत्रों में उच्च रैंकिंग संस्थान हैं। समूह वर्तमान में अभी भी एशिया, अफ्रीका और मध्य पूर्व को लक्षित कर रहा है।

वर्कोक हैकर समूह एशिया, अफ्रीका और मध्य पूर्व में उच्च रैंकिंग संस्थानों पर जासूसी करने के लिए लक्षित हमलों का उपयोग करता है। यूरोपीय सुरक्षा निर्माता ईएसईटी के शोधकर्ताओं ने अभिनेताओं की गतिविधियों को उजागर करने और उनके पहले के अज्ञात उपकरणों का विश्लेषण करने में सफलता प्राप्त की है। समूह 2020 से सक्रिय है, लेकिन एक लंबे ब्रेक के बाद फरवरी 2022 से फिर से सड़क पर है।

वर्क इन-हाउस विकास का उपयोग करता है

हैकर्स के शस्त्रागार में नए, स्व-विकसित और पहले से ज्ञात उपकरण शामिल हैं। कुछ मामलों में, समूह ने प्रारंभिक पहुँच प्राप्त करने के लिए Microsoft Exchange में कुख्यात ProxyShell भेद्यता का उपयोग किया है। PowerShell पिछले दरवाजे PowHeartbeat, जो विभिन्न कार्यों से सुसज्जित है, का उपयोग यहाँ किया गया था। यह कमांड और प्रक्रियाओं के निष्पादन के साथ-साथ फाइलों को अपलोड और डाउनलोड करने में सक्षम बनाता है।

"वर्कोक अपने लक्ष्य से संवेदनशील जानकारी के बाद है। साइबर जासूसी समूह मुख्य रूप से एशिया और अफ्रीका में उच्च स्तरीय संस्थानों पर ध्यान केंद्रित करता है। हैकर विभिन्न क्षेत्रों की कंपनियों और संगठनों पर हमला करते हैं, लेकिन सरकारी संस्थानों पर स्पष्ट रूप से ध्यान केंद्रित किया जाता है," ईएसईटी के शोधकर्ता थिबॉट पैसिली कहते हैं, जिन्होंने वर्कोक की खोज की थी। "हमारे विश्लेषण के साथ, हम अन्य शोधकर्ताओं के लिए समूह की गतिविधियों का पता लगाने और हमें गहन अंतर्दृष्टि प्रदान करने के लिए नींव रखना चाहते हैं।"

जासूस समूह के लक्ष्य

2020 के अंत तक, Worok पहले से ही कई देशों में सरकारों और कंपनियों को लक्षित कर रहा था:

• पूर्वी एशिया में एक दूरसंचार कंपनी
• मध्य एशिया में एक बैंक
• दक्षिण पूर्व एशिया में समुद्री उद्योग में एक कंपनी
• मध्य पूर्व में एक सरकारी एजेंसी
• दक्षिणी अफ्रीका में एक निजी कंपनी

मई 2021 से जनवरी 2022 तक देखी गई गतिविधियों में एक लंबा व्यवधान था। फरवरी 2022 में, समूह वापस लौटा और हमला किया:

• मध्य एशिया में एक ऊर्जा कंपनी
• दक्षिण पूर्व एशिया में एक सार्वजनिक क्षेत्र की कंपनी

वोरोक कौन है?

साइबर जासूसी समूह वर्कोक अपने लक्ष्यों से समझौता करने के लिए मालिकाना और मौजूदा उपकरणों का उपयोग करता है। इनमें दो लोडर, CLRLoad और PNGLoad, साथ ही पिछले दरवाजे PowHeartBeat शामिल हैं। CRLLoad एक लोडर है जो 2021 का उपयोग करता है लेकिन 2022 में ज्यादातर मामलों में इसे PowHeartBeat द्वारा बदल दिया गया है। PNGLoad PNG छवियों में छिपे दुर्भावनापूर्ण पेलोड का पुनर्निर्माण करने के लिए स्टेग्नोग्राफ़ी का उपयोग करता है।

PowerShell में लिखे गए, पिछले दरवाजे PowHeartBeat में कमांड/प्रक्रिया निष्पादन और फ़ाइल हेरफेर सहित कार्यों की एक विस्तृत श्रृंखला है। यह संपीड़न, कोडिंग और एन्क्रिप्शन जैसी विभिन्न तकनीकों का उपयोग करके अपनी शरारतों को दूर करता है। उदाहरण के लिए, PowHeartBeat समझौता किए गए कंप्यूटरों पर फ़ाइलों को अपलोड और डाउनलोड करने में सक्षम है, फ़ाइल जानकारी जैसे पथ, लंबाई, निर्माण समय, एक्सेस समय और सामग्री को कमांड और कंट्रोल सर्वर पर लौटाता है, और फ़ाइलों को हटाता है, नाम बदलता है और स्थानांतरित करता है।

ESET.com पर अधिक

 

---

ईएसईटी के बारे में

ESET एक यूरोपीय कंपनी है जिसका मुख्यालय ब्रातिस्लावा (स्लोवाकिया) में है। 1987 से, ईएसईटी पुरस्कार विजेता सुरक्षा सॉफ्टवेयर विकसित कर रहा है जिसने पहले ही 100 मिलियन से अधिक उपयोगकर्ताओं को सुरक्षित तकनीकों का आनंद लेने में मदद की है। सुरक्षा उत्पादों के व्यापक पोर्टफोलियो में सभी प्रमुख प्लेटफॉर्म शामिल हैं और दुनिया भर में व्यवसायों और उपभोक्ताओं को प्रदर्शन और सक्रिय सुरक्षा के बीच सही संतुलन प्रदान करता है। जेना, सैन डिएगो, सिंगापुर और ब्यूनस आयर्स में 180 से अधिक देशों और कार्यालयों में कंपनी का वैश्विक बिक्री नेटवर्क है। अधिक जानकारी के लिए www.eset.de पर जाएं या हमें LinkedIn, Facebook और Twitter पर फ़ॉलो करें।

---

 

विषय से संबंधित लेख