- Výskumníci spoločnosti ESET odhalili doteraz neznámu špionážnu skupinu, ktorú pomenovali Worok.
- Worok má na svedomí útoky na popredné spoločnosti v oblastiach telekomunikácie, bankovníctva, námorníctva, energetiky, obrany, ale aj na vládne organizácie. Ciele útokov sa nachádzajú prevažne v Ázii, ale takisto na Blízkom východe a v Afrike.
- Worok vyvíja svoje vlastné nástroje a zneužíva existujúce prostriedky na kompromitovanie svojich cieľov. Skupina zneužila v niektorých prípadoch neslávne známe ProxyShell zraniteľnosti na získanie prvotného prístupu k obetiam. Jej PowerShell backdoor PowHeartBeat disponuje viacerými schopnosťami, vrátane vykonávania príkazov a sťahovania súborov.
Výskumníci spoločnosti ESET nedávno odhalili cielené útoky, ktoré využívali doposiaľ neznáme nástroje, zacielené na viaceré popredné spoločnosti a vládne organizácie nachádzajúce sa prevažne v Ázii, ale taktiež na Blízkom východe a v Afrike. Tieto útoky spáchala doposiaľ nezdokumentovaná kyberšpionážna skupina, ktorú ESET nazval Worok. Podľa telemetrie spoločnosti ESET bola skupina aktívna najmenej od roku 2020 a vo svojich operáciách aj naďalej pokračuje. Medzi jej obeťami sú firmy z odvetvia telekomunikácie, bankovníctva, námorníctva, energetiky, obrany, ale aj verejné a vládne inštitúcie. V niektorých prípadoch zneužila skupina Worok na získanie prvotného prístupu k svojim cieľom neslávne známe zraniteľnosti ProxyShell.
„Nazdávame sa, že útočníci idú po údajoch svojich obetí, pretože sa zameriavajú na vysoko postavené ciele v Ázii a v Afrike, pričom cielia na rôzne sektory zo súkromnej aj verejnej sféry. Špeciálny dôraz ale kladie skupina na vládne organizácie,“ vysvetľuje Thibaut Passilly, výskumník spoločnosti ESET, ktorý odhalil skupinu Worok.
Medzi obeťami skupiny Worok boli ešte v roku 2020 vlády a firmy vo viacerých krajinách:
- Telekomunikačná spoločnosť vo východnej Ázii
- Banka v centrálnej Ázii
- Námorná spoločnosť v juhovýchodnej Ázii
- Vládna inštitúcia na Blízkom východe
- Súkromná spoločnosť v južnej Afrike
Medzi májom 2021 a januárom 2022 došlo k výraznému utlmeniu kybernetických operácií, no vo februári sa skupina Worok opäť vrátila na scénu, pričom zaútočila na:
- Energetickú spoločnosť v centrálnej Ázii
- Verejnú inštitúciu v juhovýchodnej Ázii
Mapa zobrazujúca obete skupiny Worok
Worok je špionážna skupina, ktorá vyvíja svoje vlastné nástroje a zneužíva existujúce prostriedky na kompromitovanie svojich cieľov. Do vlastného arzenálu hackerov patria dva loadre – CLRLoad a PNGLoad, ako aj backdoor PowHeartBeat.
CLRLoad je loader použitý v prvej fáze útokov z roku 2021. V roku 2022 bol vo väčšine prípadov nahradený backdoorom PowHeartBeat. PNGload je loader využívaný v druhej fáze a pomocou steganografie (metódy skrytej komunikácie) obnovuje škodlivý kód ukrytý v PNG obrázkoch.
PowHeartBeat je plne vybavený backdoor zapísaný v platforme PowerShell. Na svoju kamufláž využíva viaceré techniky vrátane kompresie, kódovania a šifrovania. Tento backdoor disponuje viacerými schopnosťami, medzi ktoré patrí vykonávanie príkazov a narábanie so súbormi. Dokáže napríklad nahrávať aj sťahovať súbory na skompromitované zariadenia, posielať informácie o súboroch (trasa, dĺžka, čas vytvorenia, prístupové časy, obsah) na riadiaci server a mazať, premenovávať či premiestňovať súbory.
„Aj keď sú v tomto štádiu naše informácie ešte stále obmedzené, dúfame, že naše upriamenie pozornosti na Worok podnieti ostatných výskumníkov k tomu, aby zdieľali zistenia o tejto skupine,“ dodáva Passilly.
Viac technických informácií o skupine Worok nájdete v našom špeciálnom blogu „Worok: the big picture“ na našom portáli WeLiveSecurity. Najnovšie zistenia výskumníkov spoločnosti ESET nájdete na Twitteri ESET research.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.