Worok のサイバー スパイ活動の標的は、電気通信、銀行、エネルギー、軍事、政府、海運部門の高位機関です。 このグループは現在もアジア、アフリカ、中東を標的にしています。
Worok ハッカー グループは、標的型攻撃を使用して、アジア、アフリカ、中東の高位機関をスパイしています。 ヨーロッパのセキュリティ メーカーである ESET の研究者は、攻撃者の活動を明らかにし、これまで知られていなかったツールを分析することに成功しました。 このグループは 2020 年から活動を続けていますが、2022 年 XNUMX 月から長い休止期間を経て活動を再開しています。
Worok は社内開発を使用しています
ハッカーの武器は、新しい自己開発ツールと既知のツールで構成されています。 場合によっては、このグループは Microsoft Exchange の悪名高い ProxyShell の脆弱性を利用して、最初のアクセスを取得しました。 ここでは、さまざまな機能を備えた PowerShell バックドア PowHeartbeat が使用されました。 これにより、コマンドとプロセスの実行、およびファイルのアップロードとダウンロードが可能になります。
「ウォロックは標的からの機密情報を狙っています。 サイバースパイグループは、主にアジアとアフリカの高レベル機関に焦点を当てています。 ハッカーはさまざまな分野の企業や組織を攻撃しますが、その焦点は明らかに政府機関に向けられています」と、Worok を発見した ESET の研究者 Thibaut Passilly 氏は述べています。 「私たちの分析により、他の研究者がグループの活動をさらに調査し、より深い洞察を得るために基礎を築きたいと考えています。」
スパイ集団の狙い
2020 年末までに、Worok はすでにいくつかの国の政府や企業を標的にしていました。
- 東アジアの通信会社
- 中央アジアの銀行
- 東南アジアの海事産業の会社
- 中東の政府機関
- 南アフリカの民間企業
2021 年 2022 月から 2022 年 XNUMX 月にかけて、観察された活動はより長く中断されました。 XNUMX 年 XNUMX 月、このグループは戻ってきて次の攻撃を行いました。
- 中央アジアのエネルギー会社
- 東南アジアの公共企業
ヴォロクとは?
サイバー スパイ グループの Worok は、独自のツールや既存のツールを使用して標的を侵害しています。 これらには、CLRLoad と PNGLoad の 2021 つのローダー、およびバックドア PowHeartBeat が含まれます。 CLRLoad は 2022 を使用するローダーですが、XNUMX 年にはほとんどの場合 PowHeartBeat に置き換えられています。 PNGLoad はステガノグラフィーを使用して、PNG 画像に隠された悪意のあるペイロードを再構築します。
PowerShell で記述されたバックドア PowHeartBeat は、コマンド/プロセスの実行やファイル操作など、幅広い機能を備えています。 圧縮、コーディング、暗号化などのさまざまな手法を使用していたずらを偽装します。 たとえば、PowHeartBeat は侵入先のコンピュータにファイルをアップロードおよびダウンロードし、パス、長さ、作成時間、アクセス時間、コンテンツなどのファイル情報をコマンド アンド コントロール サーバーに返し、ファイルを削除、名前変更、および移動することができます。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。