Аналитики ESET обнаружили кибершпионскую группировку Worok, активную как минимум с 2020 года. В основном эти хакеры атакуют правительственные учреждения и известные компании в странах Азии, но порой их целями становятся организации из Африки и стран Ближнего Востока.

На сегодняшний день Worok удалось связать с атаками на телекоммуникационные, банковские, морские и энергетические компании, а также на военные, правительственные и общественные организации. К примеру, по данным исследователей, в конце 2020 года Worok атаковал неназванную телекоммуникационную компанию в Восточной Азии, банк в Центральной Азии, компанию, занимающуюся морским судоходством в Юго-Восточной Азии,  а также государственное учреждение на Ближнем Востоке и частную компанию на юге Африки.

Теперь же ESET приписывает этой группировке новые атаки на энергетическую компанию в Центральной Азии и организацию госсектора в Юго-Восточной Азии.

«Мы считаем, что операторы вредоноса охотятся за информацией своих жертв, потому как они сосредоточены на крупных организациях в Азии и Африке и атакуют различные секторы, как частные, так и государственные, но делают особый акцент на государственных структурах», — пишут эксперты.

Хотя порой хакеры использовали эксплоиты для проблемы ProxyShell, чтобы получить начальный доступ к сетям своих жертв, в целом первоначальный вектор проникновения остается неизвестным для большинства инцидентов.

«Как правило, после эксплуатации уязвимостей загружались веб-шеллы, чтобы закрепиться в сети жертвы. Затем атакующие использовали различные имплантаты для получения дополнительных возможностей», — гласит отчет.

Набор вредоносных инструментов Worok включает в себя два загрузчика: загрузчик на C++, известный как CLRLoad, а также загрузчик на C#, получивший название PNGLoad, который помогает злоумышленникам скрывать полезные нагрузки в файлах изображений PNG с помощью стеганографии.

Хотя пока эксперты ESET пока не изучили финальные пейлоады группы, во время расследования атак они выявили новый PowerShell-бэкдор, который назвали PowHeartBeat. С февраля 2022 года он заменил собой CLRLoad и теперь используется в качестве инструмента, предназначенного для запуска PNGLoad в скомпрометированных системах.

PowHeartBeat обладает широким спектром возможностей, включая манипулирование файлам, выполнение команд и процессов, а также загрузку и скачивание файлов на устройства жертв или с них.

«Хотя пока наша видимость ограничена, мы надеемся, что пролив свет на эту группу, побудим других исследователей поделиться информацией о Worok», — резюмируют специалисты ESET.

По мнению исследователей, Worok может быть связана с китайской хак-группой TA428, однако полной уверенности в этом у экспертов пока нет.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии