ESET виявила нову групу кібершпигунів - Worok

ESET виявила нову групу кібершпигунів - Worok

Компанія ESET проінформувала про виявлення цілеспрямованих атак нової групи кібершпигунів Worok. Серед цілей зловмисників були різні телекомунікаційні та банківські компанії, енергетичні та військові підприємства, а також державні організації.

Відповідно до даних телеметрії ESET, група кіберзлочинців Worok активна принаймні з 2020 року та продовжує свою діяльність до сьогодні. У деяких випадках зловмисники використовували уразливості ProxyShell для отримання початкового доступу.

«Ми вважаємо, що кіберзлочинці націлені на отримання інформації жертв, оскільки вони зосереджуються на відомих організаціях з різних галузей у країнах Азії та Африки, але особливий акцент зловмисники роблять на державних установах», коментують у ESET.

З травня 2021 року до січня 2022 року спостерігалася перерва у діяльності групи. Однак вже в лютому цього року активність Worok відновилась, що підтверджує атака на енергетичну компанію в Центральній Азії та державну організацію в Південно-Східній Азії.

Варто зазначити, що група кібершпигунів Worok розробляє власні інструменти та використовує наявні для компрометації своїх цілей. Спеціальний набір інструментів зловмисників містить два завантажувачі — CLRLoad та PNGLoad, а також бекдор PowHeartBeat.

Зокрема завантажувач першого етапу CLRLoad використовувався у 2021 році, але у 2022 році у більшості випадків був замінений на бекдор PowHeartBeat. Тоді як завантажувач другого етапу PNGLoad використовує метод приховування інформації для перебудови шкідливих компонентів, які маскуються під зображення у форматі PNG.

PowHeartBeat — це повнофункціональний бекдор, який написаний мовою PowerShell та створений з використанням різних методів заплутування, таких як стиснення, кодування та шифрування. Зловред має різні можливості, зокрема він виконує команди та процеси, а також здійснює різні маніпуляції з файлами.