ESET pētnieki: kiberspiegošanas grupa WOROK

Next story

ESET pētnieki nesen atklāja mērķētus uzbrukumus, kuros tika izmantoti nedokumentēti rīki pret dažādiem augsta līmeņa uzņēmumiem un vietējām valdībām, galvenokārt Āzijā, kā arī Tuvajos Austrumos un Āfrikā. Šos uzbrukumus veica iepriekš nezināma kiberspiegošanas grupa, ko ESET nodēvēja par "Worok". Saskaņā ar ESET telemetrijas datiem Worok ir darbojusies vismaz kopš 2020. gada un turpina darboties arī šobrīd. Starp mērķiem bija gan uzņēmumi no telekomunikāciju, banku, jūrniecības, enerģētikas un militārā sektora, gan valdības un publiskā sektora iestādes. Worok dažos gadījumos sākotnējās piekļuves iegūšanai izmantoja bēdīgi slaveno ProxyShell ievainojamību.

"Mēs uzskatām, ka ļaunprogrammatūras operatori cenšas iegūt informāciju no saviem upuriem, jo tie koncentrējas uz augsta līmeņa struktūrām Āzijā un Āfrikā, mērķējot uz dažādiem sektoriem - gan privāto, gan valsts sektoru, bet īpašu uzmanību pievēršot valsts iestādēm," saka ESET pētnieks Thibaut Passilly, kurš atklāja Worok.

Jau 2020. gada beigās Worok kiberuzbrukumus mērķēja uz vairāku valstu valdībām un uzņēmumiem:

  • Telekomunikāciju uzņēmums Austrumāzijā.
  • Banka Vidusāzijā.
  • Jūrniecības nozares uzņēmums Dienvidaustrumāzijā.
  • Valsts iestāde Tuvajos Austrumos.
  • Privāts uzņēmums Āfrikas dienvidos.

No 2021. gada maija līdz 2022. gada janvārim bija novērojams būtisks pārtraukums darbībās, bet 2022. gada februārī Worok aktivitāte atjaunojās:

  • Enerģētikas uzņēmums Centrālāzijā
  • Publiskā sektora uzņēmums Dienvidaustrumāzijā

Worok ir kiberspiegošanas grupa, kas izstrādā savus rīkus un izmanto esošos rīkus, lai kompromitētu savus mērķus. Grupas pielāgotajā rīku komplektā ir divi ielādētāji CLRLoad un PNGLoad, kā arī slepenpiekļuve PowHeartBeat.

CLRLoad ir pirmās pakāpes ielādētājs, kas tika izmantots 2021. gadā, bet 2022. gadā vairumā gadījumu tika aizstāts ar PowHeartBeat. PNGLoad ir otrās pakāpes ielādētājs, kas izmanto steganogrāfiju*, lai rekonstruētu PNG attēlos paslēptas ļaunprātīgas ielādes.

PowHeartBeat ir pilnfunkcionāla slepenpiekļuve, kas ir rakstīta PowerShell vidē un maskēta, izmantojot dažādas metodes, piemēram, saspiešanu, kodēšanu un šifrēšanu. Šai slepenpiekļuvei ir dažādas iespējas, tostarp komandu/procesu izpilde un manipulācijas ar failiem. Piemēram, tā spēj augšupielādēt failus kompromitētajos datoros un lejupielādēt failus no tiem; atgriezt komandu un kontroles serverim failu informāciju, piemēram, ceļu, garumu, izveides laiku, piekļuves laiku un saturu; dzēst, pārdēvēt un pārvietot failus.

"Lai gan mūsu redzamība šajā posmā ir ierobežota, mēs ceram, ka uzmanības pievēršana šai grupai mudinās citus pētniekus dalīties ar informāciju par šo grupu," piebilst Passilly.

Mērķa reģionu un vertikāļu kiberuzbrukumu intensitātes karte:

Lai iegūtu vairāk tehniskās informācijas par Worok, lasiet WeLiveSecurity emuāra rakstu "Worok: the big picture".

* Steganogrāfija ir datu pārraides metode, kas paredzēta informācijas slēpšanai citos datos.

Atstājiet pieprasījumu