ESET araştırmacıları, Worok adını verdikleri önceden bilinmeyen bir siber casusluk grubunu gün yüzüne çıkardı. Worok telekomünikasyon …
ESET araştırmacıları, Worok adını verdikleri önceden bilinmeyen bir siber casusluk grubunu gün yüzüne çıkardı. Worok telekomünikasyon, bankacılık, denizcilik, enerji, askeriye, devlet kurumları ayrıca kamu sektöründen çeşitli yüksek profilli şirketlere saldırılar düzenliyor. Hedefleri Asya başta olmak üzere, Orta Doğu ayrıca Afrika’da bulunuyor.
Worok, hedeflerine ulaşmak için kendi araçlarını geliştirmenin yanı sıra mevcut araçlardan da faydalanıyor. Grubun bazı durumlarda ilk erişimi sağlamak için kötü şöhretli ProxyShell güvenlik açıklarını kullandığı da biliniyor. Kullanmakta oldukları PowerShell arka kapısı PowHeartBeat’in komut/süreç yürütme, dosya yükleme ayrıca indirme dahil çeşitli kabiliyetleri mevcut.
ESET araştırmacıları yakın zamanda, Asya başta olmak üzere Orta Doğu ayrıca Afrika’da çeşitli yüksek profilli şirketlere ayrıca yerel yönetimlere karşı belgelenmemiş araçlar kullanılan hedefe yönelik saldırılar yapıldığını keşfetti. Bu saldırılar, ESET’in Worok adını verdiği önceden bilinmeyen bir siber casusluk grubu tarafınca gerçekleştirildi. ESET telemetrisine göre Worok en azından 2020’den beri aktif ayrıca günümüzde de aktif olmaya devam ediyor. Hedefleri arasında ise telekomünikasyon, bankacılık, denizcilik, enerji, askeriye, devlet kurumları ayrıca kamu sektöründen çeşitli yüksek profilli şirketler yer alıyor. Worok, bazı durumlarda ilk erişimi sağlamak için kötü şöhretli ProxyShell güvenlik açıklarını da kullanabiliyor.
Ağırlıklı olarak Asya’daki şirketleri ayrıca hükümetleri hedefliyor
Worok’u keşfeden ESET araştırmacısı Thibaut Passilly konuyla ilgili olarak şu açıklamayı yaptı: “Devlet kuruluşları başta olmak üzere, özel ayrıca kamusal alanda çeşitli sektörleri hedef alan kötü amaçlı yazılım operatörleri, Asya ayrıca Afrika’daki yüksek profilli kuruluşlara odaklanmış durumda, bu nedenle kurbanlara ait bilgilerin peşinde olduklarını düşünüyoruz.”
2020’nin sonlarında Worok, aşağıdakiler başta olmak üzere birçok farklı hükümet ayrıca şirketi hedef alıyordu: Doğu Asya’da bir telekomünikasyon şirketi, Orta Asya’da bir banka, Güneydoğu Asya’da bir denizcilik şirketi, Orta Doğu’da bir devlet kuruluşu, Güney Afrika’da özel bir şirket. Mayıs 2021’den Ocak 2022’ye kadar izlenen operasyonlarda Worok’un eylemlerinde önemli bir ara gözlemlendi ancak grup, Şubat 2022’de odağına şu hedefleri alarak geri döndü: Doğu Asya’da bir enerji şirketi, Güneydoğu Asya’da bir kamu kurumu.
Kendi araçlarını geliştiren bir siber casusluk grubu olan Worok, hedeflerine ulaşmak için mevcut araçlardan da faydalanıyor. Grubun özel araç setinde CLRLoad ayrıca PNGLoad adlı iki yükleyici ayrıca PowHeartBeat adlı bir arka kapı bulunuyor. CLRLoad, 2021’de kullanılan, ancak 2022’de çoğu durumda PowHeartBeat ile değiştirilen birinci aşama bir yükleyici. PNGLoad da PNG görüntülerinde gizlenmiş kötü amaçlı yükleri tekrardan oluşturmak için steganografi kullanan ikinci aşamalı bir yükleyici.
PowHeartBeat ise PowerShell’de yazılmış, sıkıştırma, kodlama ayrıca şifreleme gibi çeşitli teknikler kullanılarak gizlenmiş tam özellikli bir arka kapı. Bu arka kapı, komut/süreç yürütme ayrıca dosya manipülasyonu dahil olmak üzere çeşitli kabiliyetlere sahip. Örneğin, güvenliği ihlal edilmiş makinelere dosya yükleyebilir ayrıca bu makinelerden dosya indirebilir; komuta ayrıca kontrol sunucusuna yol, uzunluk, oluşturma süresi, erişim süreleri ayrıca içerik gibi dosya bilgilerini döndürebilir; ayrıca dosyaları silme, tekrardan adlandırma ayrıca taşıma gibi eylemleri yerine getirebilir.
