Výskumníci spoločnosti ESET nedávno odhalili cielené útoky, ktoré využívali doposiaľ neznáme nástroje, zacielené na viaceré popredné spoločnosti a vládne organizácie nachádzajúce sa prevažne v Ázii, ale taktiež na Blízkom východe a v Afrike. Tieto útoky spáchala doposiaľ nezdokumentovaná kyberšpionážna skupina, ktorú ESET nazval Worok. Podľa telemetrie spoločnosti ESET bola skupina aktívna najmenej od roku 2020 a vo svojich operáciách aj naďalej pokračuje. Medzi jej obeťami sú firmy z odvetvia telekomunikácie, bankovníctva, námorníctva, energetiky, obrany, ale aj verejné a vládne inštitúcie. V niektorých prípadoch zneužila skupina Worok na získanie prvotného prístupu k svojim cieľom neslávne známe zraniteľnosti ProxyShell.
„Nazdávame sa, že útočníci idú po údajoch svojich obetí, pretože sa zameriavajú na vysoko postavené ciele v Ázii a v Afrike, pričom cielia na rôzne sektory zo súkromnej aj verejnej sféry. Špeciálny dôraz ale kladie skupina na vládne organizácie,“ vysvetľuje Thibaut Passilly, výskumník spoločnosti ESET, ktorý odhalil skupinu Worok.
Medzi obeťami skupiny Worok boli ešte v roku 2020 vlády a firmy vo viacerých krajinách:
- Telekomunikačná spoločnosť vo východnej Ázii
- Banka v centrálnej Ázii
- Námorná spoločnosť v juhovýchodnej Ázii
- Vládna inštitúcia na Blízkom východe
- Súkromná spoločnosť v južnej Afrike
Medzi májom 2021 a januárom 2022 došlo k výraznému utlmeniu kybernetických operácií, no vo februári sa skupina Worok opäť vrátila na scénu, pričom zaútočila na:
- Energetickú spoločnosť v centrálnej Ázii
- Verejnú inštitúciu v juhovýchodnej Ázii
Worok je špionážna skupima, ktorá vyvíja svoje vlastné nástroje a zneužíva existujúce prostriedky na kompromitovanie svojich cieľov. Do vlastného arzenálu hackerov patria dva loadre – CLRLoad a PNGLoad, ako aj backdoor PowHeartBeat.
CLRLoad je loader použitý v prvej fáze útokov z roku 2021. V roku 2022 bol vo väčšine prípadov nahradený backdoorom PowHeartBeat. PNGload je loader využívaný v druhej fáze a pomocou steganografie (metódy skrytej komunikácie) obnovuje škodlivý kód ukrytý v PNG obrázkoch.
PowHeartBeat je plne vybavený backdoor zapísaný v platforme PowerShell. Na svoju kamufláž využíva viaceré techniky vrátane kompresie, kódovania a šifrovania. Tento backdoor disponuje viacerými schopnosťami, medzi ktoré patrí vykonávanie príkazov a narábanie so súbormi. Dokáže napríklad nahrávať aj sťahovať súbory na skompromitované zariadenia, posielať informácie o súboroch (trasa, dĺžka, čas vytvorenia, prístupové časy, obsah) na riadiaci server a mazať, premenovávať či premiestňovať súbory.
„Aj keď sú v tomto štádiu naše informácie ešte stále obmedzené, dúfame, že naše upriamenie pozornosti na Worok podnieti ostatných výskumníkov k tomu, aby zdieľali zistenia o tejto skupine,“ dodáva Passilly.
Viac technických informácií o skupine Worok nájdete v našom špeciálnom blogu „Worok: the big picture“ na našom portáli WeLiveSecurity. Najnovšie zistenia výskumníkov spoločnosti ESET nájdete na Twitteri ESET research.