Na hackerskej scéne pribudla nová špionážna skupina, ktorú odhalili výskumníci spoločnosti ESET. Odborníci zo slovenskej firmy skupinu pomenovali Worok. Podľa ich zistení má skupina na svedomí cielené útoky na popredné firmy a vlády v Ázii, ale aj na Blízkom východe a v Afrike.
Skupina Worok operuje s doposiaľ neznámymi nástrojmi a zneužíva existujúce prostriedky na kompromitovanie svojich cieľov. V niektorých prípadoch zneužili hackeri na získanie prvotného prístupu k obetiam neslávne známe zraniteľnosti ProxyShell.
ESET pomocou svojej telemetrie zistil, že skupina je aktívna najmenej od roku 2020, pričom vo svojom ťažení aj naďalej pokračuje. Medzi jej obeťami sú firmy z odvetvia telekomunikácie, bankovníctva, námorníctva, energetiky, obrany, ale aj verejné a vládne inštitúcie.
„Nazdávame sa, že útočníci idú po údajoch svojich obetí, pretože sa zameriavajú na vysoko postavené ciele v Ázii a v Afrike, pričom cielia na rôzne sektory zo súkromnej aj verejnej sféry. Špeciálny dôraz ale kladie skupina na vládne organizácie,“ vysvetľuje Thibaut Passilly, výskumník spoločnosti ESET, ktorý odhalil skupinu Worok.
Presnejší zoznam cieľov nájdete v tlačovej správe spoločnosti.
Do vlastného arzenálu hackerov patria dva loadre – CLRLoad a PNGLoad, ako aj backdoor PowHeartBeat. CLRLoad je loader použitý v prvej fáze útokov z roku 2021. V roku 2022 bol vo väčšine prípadov nahradený backdoorom PowHeartBeat. PNGload je zas loader využívaný v druhej fáze a pomocou steganografie (metódy skrytej komunikácie) obnovuje škodlivý kód ukrytý v PNG obrázkoch.
PowHeartBeat je plne vybavený backdoor zapísaný v platforme PowerShell. Na svoju kamufláž využíva viaceré techniky vrátane kompresie, kódovania a šifrovania. Tento backdoor disponuje viacerými schopnosťami, medzi ktoré patrí vykonávanie príkazov a narábanie so súbormi. Dokáže napríklad nahrávať aj sťahovať súbory na skompromitované zariadenia, posielať informácie o súboroch (trasa, dĺžka, čas vytvorenia, prístupové časy, obsah) na riadiaci server a mazať, premenovávať či premiestňovať súbory.
Viac technických informácií o skupine Worok nájdete v našom špeciálnom blogu „Worok: the big picture“ na našom medzinárodnom portáli WeLiveSecurity.
