Цілями кібершпигунства Worok є високопоставлені установи в телекомунікаційному, банківському, енергетичному, військовому, урядовому та транспортному секторах. Зараз група все ще націлена на Азію, Африку та Близький Схід.
Хакерська група Worok використовує цілеспрямовані атаки, щоб шпигувати за високопоставленими установами в Азії, Африці та на Близькому Сході. Дослідникам з європейського виробника безпеки ESET вдалося розкрити діяльність акторів і проаналізувати їхні раніше невідомі інструменти. Гурт працює з 2020 року, але з лютого 2022 року знову в дорозі після тривалої перерви.
Worok використовує власні розробки
Арсенал хакерів складається з нових, власної розробки та вже відомих інструментів. У деяких випадках група використовувала горезвісні вразливості ProxyShell у Microsoft Exchange, щоб отримати початковий доступ. Тут використовувався бекдор PowerShell PowHeartbeat, який оснащений різними функціями. Це дозволяє виконувати команди та процеси, а також завантажувати та завантажувати файли.
«Ворок шукає конфіденційну інформацію від своїх цілей. Група кібершпигунства зосереджена на високопоставлених установах переважно в Азії та Африці. Хакери атакують компанії та організації з різних секторів, але зосереджені на державних установах», — каже дослідник ESET Тібо Пассіллі, який відкрив Worok. «Завдяки нашому аналізу ми хочемо закласти основу для інших дослідників для подальшого вивчення діяльності групи та дати нам глибше розуміння».
Цілі розвідувальної групи
До кінця 2020 року Worok вже націлився на уряди та компанії в кількох країнах:
- Телекомунікаційна компанія в Східній Азії
- Банк в Центральній Азії
- Компанія в морській галузі в Південно-Східній Азії
- Державна установа на Близькому Сході
- Приватна компанія в Південній Африці
З травня 2021 року по січень 2022 року була більш тривала перерва в спостережуваній діяльності. У лютому 2022 року група повернулася та атакувала:
- Енергетична компанія в Центральній Азії
- Компанія державного сектору в Південно-Східній Азії
Хто такий Ворок?
Група кібершпигунства Worok використовує власні та існуючі інструменти для компрометації своїх цілей. Серед них два завантажувачі, CLRLoad і PNGLoad, а також бекдор PowHeartBeat. CLRLoad — це завантажувач, який використовує 2021, але в більшості випадків у 2022 році його замінив PowHeartBeat. PNGLoad використовує стеганографію для реконструкції шкідливих корисних навантажень, прихованих у зображеннях PNG.
Написаний на PowerShell, бекдор PowHeartBeat має широкий спектр функцій, включаючи виконання команд/процесів і маніпуляції з файлами. Він маскує свою зловмисність за допомогою різних методів, таких як стиснення, кодування та шифрування. Наприклад, PowHeartBeat може завантажувати та завантажувати файли на скомпрометовані комп’ютери, повертати інформацію про файл, таку як шлях, довжина, час створення, час доступу та вміст, на сервер керування та керування, а також видаляти, перейменовувати та переміщувати файли.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.