Worok siber casusluğunun hedefleri telekomünikasyon, bankacılık, enerji, askeriye, devlet ve denizcilik sektörlerindeki üst düzey kurumlardır. Grup şu anda hala Asya, Afrika ve Orta Doğu'yu hedefliyor.
Worok hacker grubu, Asya, Afrika ve Orta Doğu'daki üst düzey kurumları gözetlemek için hedefli saldırılar kullanıyor. Avrupalı güvenlik üreticisi ESET'ten araştırmacılar, aktörlerin faaliyetlerini ortaya çıkarmayı ve daha önce bilinmeyen araçlarını analiz etmeyi başardı. Grup 2020'den beri aktif ancak daha uzun bir aradan sonra Şubat 2022'den beri tekrar yollarda.
Work, şirket içi geliştirmeleri kullanır
Bilgisayar korsanlarının cephaneliği yeni, kendi geliştirdiği ve zaten bilinen araçlardan oluşur. Bazı durumlarda grup, ilk erişimi elde etmek için Microsoft Exchange'deki kötü şöhretli ProxyShell güvenlik açıklarını kullandı. Burada çeşitli işlevlerle donatılmış PowerShell arka kapı PowHeartbeat kullanıldı. Bu, komutların ve işlemlerin yürütülmesinin yanı sıra dosyaların yüklenmesine ve indirilmesine olanak tanır.
"Worok, hedeflerinden gelen hassas bilgilerin peşinde. Siber casusluk grubu, ağırlıklı olarak Asya ve Afrika'daki üst düzey kurumlara odaklanmaktadır. Worok'u keşfeden ESET araştırmacısı Thibaut Passilly, "Bilgisayar korsanları farklı sektörlerden şirketlere ve kuruluşlara saldırıyor, ancak odak noktası açıkça devlet kurumlarında" diyor. "Analizimizle, diğer araştırmacıların grubun faaliyetlerini daha fazla keşfetmesi ve bize daha derin bir fikir vermesi için temel oluşturmak istiyoruz."
Casus grubun hedefleri
2020'nin sonunda, Worok zaten birkaç ülkedeki hükümetleri ve şirketleri hedefliyordu:
- Doğu Asya'da bir telekomünikasyon şirketi
- Orta Asya'da bir banka
- Güneydoğu Asya'da denizcilik sektöründe faaliyet gösteren bir şirket
- Orta Doğu'da bir devlet kurumu
- Güney Afrika'da özel bir şirket
Mayıs 2021'den Ocak 2022'ye kadar gözlemlenen faaliyetlerde daha uzun bir kesinti yaşandı. Şubat 2022'de grup geri döndü ve saldırdı:
- Orta Asya'da bir enerji şirketi
- Güneydoğu Asya'da bir kamu sektörü şirketi
Vorok kimdir?
Siber casusluk grubu Worok, hedeflerini tehlikeye atmak için tescilli ve mevcut araçları kullanıyor. Bunlar arasında iki yükleyici, CLRLoad ve PNGLoad ile arka kapı PowHeartBeat yer alır. CLRLoad, 2021'i kullanan ancak 2022'de çoğu durumda PowHeartBeat ile değiştirilen bir yükleyicidir. PNGLoad, PNG görüntülerinde gizlenen kötü amaçlı yükleri yeniden oluşturmak için steganografi kullanır.
PowerShell'de yazılan arka kapı PowHeartBeat, komut/işlem yürütme ve dosya işleme dahil olmak üzere çok çeşitli işlevlere sahiptir. Sıkıştırma, kodlama ve şifreleme gibi çeşitli teknikleri kullanarak yaramazlığını gizler. Örneğin, PowHeartBeat güvenliği ihlal edilmiş bilgisayarlara dosya yükleyebilir ve indirebilir, yol, uzunluk, oluşturma zamanı, erişim süreleri ve içerik gibi dosya bilgilerini komut ve kontrol sunucusuna döndürebilir ve dosyaları silebilir, yeniden adlandırabilir ve taşıyabilir.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.