ESET araştırmacıları, Worok adını verdikleri önceden bilinmeyen bir siber casusluk grubunu gün yüzüne çıkardı. Worok; telekomünikasyon, bankacılık, denizcilik, enerji, askeriye, devlet kurumları ve kamu sektöründen çeşitli yüksek profilli şirketlere saldırılar düzenliyor. Hedefleri Asya başta olmak üzere, Orta Doğu ve Afrika’da bulunuyor.
Worok, hedeflerine ulaşmak için kendi araçlarını geliştirmenin yanı sıra mevcut araçlardan da faydalanıyor. Grubun bazı durumlarda ilk erişimi sağlamak için kötü şöhretli ProxyShell güvenlik açıklarını kullandığı da biliniyor. Kullanmakta oldukları PowerShell arka kapısı PowHeartBeat’in komut ve süreç yürütme, dosya yükleme ve indirme dahil çeşitli kabiliyetleri mevcut.
ESET araştırmacıları yakın zamanda, Asya başta olmak üzere Orta Doğu ve Afrika’da çeşitli yüksek profilli şirketlere ve yerel yönetimlere karşı belgelenmemiş araçlar kullanılan hedefe yönelik saldırılar yapıldığını keşfetti. Bu saldırılar, ESET’in Worok adını verdiği önceden bilinmeyen bir siber casusluk grubu tarafından gerçekleştirildi. ESET telemetrisine göre, Worok en azından 2020’den beri aktif ve günümüzde de aktif olmaya devam ediyor. Hedefleri arasında ise telekomünikasyon, bankacılık, denizcilik, enerji, askeriye, devlet kurumları ve kamu sektöründen çeşitli yüksek profilli şirketler yer alıyor.
Worok’u keşfeden ESET araştırmacısı Thibaut Passilly, “Devlet kuruluşları başta olmak üzere, özel ve kamusal alanda çeşitli sektörleri hedef alan kötü amaçlı yazılım operatörleri, Asya ve Afrika’daki yüksek profilli kuruluşlara odaklanmış durumda, bu nedenle kurbanlara ait bilgilerin peşinde olduklarını düşünüyoruz.” dedi.
Kendi araçlarını geliştiren bir siber casusluk grubu olan Worok, hedeflerine ulaşmak için mevcut araçlardan da faydalanıyor. Grubun özel araç setinde CLRLoad ve PNGLoad adlı iki yükleyici ve PowHeartBeat adlı bir arka kapı bulunuyor. CLRLoad, 2021’de kullanılan, ancak 2022’de çoğu durumda PowHeartBeat ile değiştirilen birinci aşama bir yükleyici. PNGLoad da PNG görüntülerinde gizlenmiş kötü amaçlı yükleri yeniden oluşturmak için steganografi kullanan ikinci aşamalı bir yükleyici.
PowHeartBeat ise PowerShell’de yazılmış, sıkıştırma, kodlama ve şifreleme gibi çeşitli teknikler kullanılarak gizlenmiş tam özellikli bir arka kapı. Bu arka kapı, komut ve süreç yürütme ve dosya manipülasyonu dahil olmak üzere çeşitli kabiliyetlere sahip. Örneğin, güvenliği ihlal edilmiş makinelere dosya yükleyebilir ve bu makinelerden dosya indirebilir; komuta ve kontrol sunucusuna yol, uzunluk, oluşturma süresi, erişim süreleri ve içerik gibi dosya bilgilerini döndürebilir; ve dosyaları silme, yeniden adlandırma ve taşıma gibi eylemleri yerine getirebilir.
