Кибершпионская группа Worok нацелена на правительства Азии и Африки

ESET обнаружила новую вредоносную кампанию, нацеленную на местные органы власти и крупнейшие организации в Азии, на Ближнем Востоке и в Африке.

Атаки проводит малоизвестная кибершпионская группировка Worok, обнаруженная исследователем ESET Тибо Пассилли. Эта группа с 2020 года атакует правительства и организации в нескольких странах, включая телекоммуникационную фирму в Восточной Азии, банк в Центральной Азии и судоходную компанию в Юго-Восточной Азии.

В своей кампании Worok атакует на организации в банковской, телекоммуникационной, морской, военной, энергетической, государственной и правительственной сферах с целью получить конфиденциальные данные.

Согласно исследованию ESET, злоумышленники использовали уязвимость ProxyShell ( CVE-2021-34523 ) для получения начального доступа. После получения первоначального доступа операторы развертывают общедоступные инструменты для дальнейшего проникновения, в том числе EarthWorm , Mimikatz , NBTscan и ReGeorg .

Затем они развернули свои собственные имплантаты, включая загрузчик первого этапа, за которым следует NET-загрузчик второго этапа (PNGLoad). В качестве загрузчика первого этапа используется полнофункциональный бэкдор PowHeartBeat, написанный на PowerShell. Бэкдор может давать команды и обрабатывать выполнение, а также выполнять манипуляции с файлами

Цепочка заражения Worok

Однако, исследователи не смогли определить окончательные полезные нагрузки. ESET заявила, что видимость действий группировки на данном этапе ограничена. Поэтому фирма надеется, что привлечение внимания к этой группе побудит других исследователей поделиться информацией о Worok.