Yeni keşfedilen bir siber-ihale grubu, en az 2020'den beri özel ve mevcut kötü niyetli araçların bir kombinasyonunu kullanarak Hükümetleri ve Asya'daki yüksek profilli şirketleri hackliyor.
İlk olarak gören ESET güvenlik araştırmacıları tarafından kötü olarak izlenen tehdit grubu, Afrika ve Orta Doğu'dan da hedeflere saldırdı.
Worok bugüne kadar telekomünikasyon, bankacılık, denizcilik ve enerji şirketlerinin yanı sıra askeri, hükümet ve kamu sektörü kuruluşlarına yönelik saldırılarla bağlantılıdır.
2020'nin sonlarında Worok, Doğu Asya'da bir telekomünikasyon şirketini, Orta Asya'da bir banka, Güneydoğu Asya'da bir denizcilik endüstrisi şirketi, Orta Doğu'da bir devlet kuruluşu ve Güney Afrika'da özel bir şirketi hedef aldı.
Şubat 2022'ye kadar hiçbir manzara olmasa da, ESET grubu bir kez daha Orta Asya'daki bir enerji şirketine ve Güneydoğu Asya'daki bir kamu sektörü kuruluşuna yönelik yeni saldırılarla ilişkilendirdi.
ESET Malware Araştırmacısı Thibaut Passilly, "Kötü amaçlı yazılım operatörlerinin kurbanlarından bilgi sonrası, Asya ve Afrika'daki yüksek profilli kuruluşlara odaklandıkları, ancak devlet kuruluşlarına özel bir vurgu yaparak çeşitli sektörleri hedefleyen, ancak çeşitli sektörleri hedeflediklerine inanıyoruz." Dedi. .
Grup, kurbanlarının ağlarına ilk erişim elde etmek için Proxyshell istismarları kullansa da, ilk erişim vektörü ihlallerinin çoğu için bilinmemektedir.
Passilly, "Bu gibi durumlarda, kurbanın ağında kalıcılık sağlamak için bu güvenlik açıklarından yararlandıktan sonra genellikle web kabukları yüklendi. Daha sonra operatörler daha fazla yetenek kazanmak için çeşitli implantlar kullandı."
Worok'un kötü amaçlı araç seti iki yükleyici içerir, Clrload olarak bilinen bir C ++ yükleyici ve pngload olarak adlandırılan bir C# yükleyici, saldırganların steganografi kullanarak PNG görüntü dosyalarındaki kötü amaçlı yazılım yüklerini gizlemesine yardımcı olur.
ESET, grubun saldırılarında teslim edilen son yüklerden birini henüz almamış olsa da, Şubat 2022'den bu yana, tehlikeye atılan sistemlerde PNGload'i başlatmak için tasarlanan araç olarak gözlenen olaylarda Clrload'in yerini alan yeni bir PowerShell Backdoor'u tespit etti.
PowheartBeat, dosya manipülasyonu ve komut veya işlem yürütme dahil olmak üzere çok çeşitli yetenekler ile birlikte, kurbanların cihazlarına ve kurbanların cihazlarına dosya yükleme veya indirme gibi gelir.
Passilly, "Etkinlik süreleri ve araç seti TA428 ile olası bağları gösteriyor, ancak bu değerlendirmeyi düşük bir güvenle yapıyoruz."
"Görünürlüğümüz sınırlı olsa da, bu gruba ışık tutmanın diğer araştırmacıları bu grup hakkında bilgi paylaşmaya teşvik edeceğini umuyoruz."
Belçika, Çinli hackerların Savunma Bakanlığına saldırdığını söylüyor
Neopets, bilgisayar korsanlarının 18 ay boyunca sistemlerine erişimi olduğunu söylüyor
Çinli hackerlar, tarama kutusu kötü amaçlı yazılımlarla Avustralya Hükümeti'ni hedefleyin
Karadağ, Rus siber saldırılarının kilit devlet işlevlerini tehdit ettiğini söylüyor
Winnti bilgisayar korsanları, algılamadan kaçmak için kobalt grevini 154 parçaya bölün
Kaynak: Bleeping Computer