Компания ESET выявила целенаправленные атаки новой группы кибершпионов Worok. Среди целей злоумышленников были разные телекоммуникационные и банковские компании, энергетические и военные предприятия, а также государственные организации.
Согласно данным телеметрии ESET, группа киберпреступников Worok активна по крайней мере с 2020 года и продолжает свою деятельность по сегодня. В некоторых случаях злоумышленники использовали уязвимости ProxyShell для получения начального доступа.
«Мы считаем, что киберпреступники нацелены на получение информации жертв, поскольку они сосредотачиваются на известных организациях с разных отраслей в странах Азии и Африки, но особый акцент злоумышленники делают на государственные учреждения», ― комментирует исследователь ESET.
С мая 2021 года по январь 2022 года наблюдался перерыв в деятельности группы. Однако уже в феврале этого года активность Worok возобновилась, что подтверждает атака на энергетическую компанию в Центральной Азии и государственную организацию в Юго-Восточной Азии.
Стоит отметить, что группа кибершпионов Worok разрабатывает свои инструменты и использует имеющиеся для компрометации своих целей. Специальный набор инструментов злоумышленников содержит два загрузчика ― CLRLoad и PNGLoad, а также бэкдор PowHeartBeat.
В частности, загрузчик первого этапа CLRLoad использовался в 2021 году, но в 2022 году в большинстве случаев был заменен на бэкдор PowHeartBeat. В то время как загрузчик второго этапа PNGLoad использует метод скрытия информации для перестройки вредоносных компонентов, которые маскируются под изображения в формате PNG.
PowHeartBeat — это полнофункциональный бэкдор, который написан на языке PowerShell и создан с использованием различных методов запутывания, таких как сжатие, кодирование и шифрование. Бекдор имеет разные возможности, в частности, он выполняет команды и процессы, а также осуществляет различные манипуляции с файлами.
Государственные учреждения и крупные компании всегда будут привлекательной целью для киберпреступников, особенно сегодня во время гибридной войны россии против Украины. Чтобы уменьшить потенциальные риски, следует создать многоуровневую систему киберзащиты. В частности, компаниям уже сейчас следует обеспечить всестороннюю защиту рабочих станций, расширенный анализ угроз, выявление и реагирование, а также предотвращение потери конфиденциальных данных.
