Yeni keşfedilen bir siber casusluk grubu, özel ve mevcut kötü amaçlı araçların bir kombinasyonunu kullanarak en az 2020’den beri Asya’daki hükümetleri ve yüksek profilli şirketleri hackliyor.
ESET güvenlik araştırmacıları tarafından Worok olarak izlenen ve onu ilk fark eden tehdit grubu, Afrika ve Orta Doğu’dan da hedeflere saldırdı.
Worok bugüne kadar telekomünikasyon, bankacılık, denizcilik ve enerji şirketlerinin yanı sıra askeri, devlet ve kamu sektörü kuruluşlarına yönelik saldırılarla bağlantılıydı.
2020’nin sonlarında Worok, Doğu Asya’da bir telekomünikasyon şirketini, Orta Asya’da bir bankayı, Güneydoğu Asya’da bir denizcilik endüstrisi şirketini, Orta Doğu’da bir devlet kurumunu ve Güney Afrika’da bir özel şirketi hedef aldı.
Şubat 2022’ye kadar herhangi bir olay görülmezken, ESET bir kez daha grubu Orta Asya’daki bir enerji şirketine ve Güneydoğu Asya’daki bir kamu sektörüne yönelik yeni saldırılarla ilişkilendirdi.
ESET kötü amaçlı yazılım araştırmacısı Thibaut Passilly, “Kötü amaçlı yazılım operatörlerinin, hem özel hem de kamu olmak üzere çeşitli sektörleri hedef alan Asya ve Afrika’daki yüksek profilli varlıklara odaklandıkları için, kurbanlarından gelen bilgilerin peşinde olduklarına inanıyoruz.” Dedi. .
Grup, kurbanlarının ağlarına ilk erişim elde etmek için ProxyShell istismarlarını kullansa da, ihlallerin çoğu için ilk erişim vektörü bilinmiyor.
”Bu gibi durumlarda, kurbanın ağında kalıcılık sağlamak için bu güvenlik açıklarından yararlanıldıktan sonra tipik olarak web kabukları yüklenir. Ardından operatörler daha fazla yetenek kazanmak için çeşitli implantlar kullandılar,” Passilly eklendi.
Worok’un kötü amaçlı araç seti iki yükleyici içerir, CLRLoad olarak bilinen bir C++ yükleyici ve PNGLoad adlı bir C# yükleyici, saldırganların steganografi kullanarak PNG görüntü dosyalarındaki kötü amaçlı yazılım yüklerini gizlemelerine yardımcı olur.
ESET, grubun saldırılarında teslim edilen son yüklerden birini henüz alamamış olsa da, PowHeartBeat adlı yeni bir PowerShell arka kapısı tespit etti ve bu arka kapı, güvenliği ihlal edilmiş sistemlerde PNGLoad’u başlatmak için tasarlanmış bir araç olarak Şubat 2022’den beri gözlemlenen olaylarda CLRLoad’ın yerini aldı.
PowHeartBeat, dosya işleme ve komut veya işlem yürütmenin yanı sıra kurbanların cihazlarına dosya yükleme veya indirme dahil olmak üzere çok çeşitli yeteneklerle birlikte gelir.
Passilly, “Etkinlik süreleri ve araç seti, TA428 ile olası bağları gösteriyor, ancak bu değerlendirmeyi düşük bir güvenle yapıyoruz.”
“Görünürlüğümüz sınırlı olsa da, bu gruba ışık tutmanın diğer araştırmacıları bu grup hakkında bilgi paylaşmaya teşvik edeceğini umuyoruz.”