ESET araştırmacıları, Worok ismini verdikleri evvelinde bilinmeyen bir siber casusluk kümesini gün yüzüne çıkardı. Worok telekomünikasyon, bankacılık, denizcilik, güç, askeriye, devlet kurumları ve kamu bölümünden çeşitli yüksek profilli şirketlere taarruzlar düzenliyor. Amaçları Asya başta olmak üzere, Orta Doğu ve Afrika’da bulunuyor.
Worok, maksatlarına ulaşmak için kendi araçlarını geliştirmenin yanı sıra mevcut araçlardan da faydalanıyor. Kümenin kimi durumlarda birinci erişimi sağlamak için makûs şöhretli ProxyShell güvenlik açıklarını kullandığı da biliniyor. Kullanmakta oldukları PowerShell art kapısı PowHeartBeat’in komut/süreç yürütme, belge yükleme ve indirme dahil çeşitli kabiliyetleri mevcut.
ESET araştırmacıları yakın vakitte, Asya başta olmak üzere Orta Doğu ve Afrika’da çeşitli yüksek profilli şirketlere ve mahallî idarelere karşı belgelenmemiş araçlar kullanılan gayeye yönelik akınlar yapıldığını keşfetti. Bu ataklar, ESET’in Worok ismini verdiği evvelinde bilinmeyen bir siber casusluk kümesi tarafınca gerçekleştirildi. ESET telemetrisine bakılırsa Worok en azından 2020’den beri faal ve günümüzde de faal olmaya devam ediyor. Gayeleri içinde ise telekomünikasyon, bankacılık, denizcilik, güç, askeriye, devlet kurumları ve kamu dalından çeşitli yüksek profilli şirketler yer alıyor. Worok, kimi durumlarda birinci erişimi sağlamak için makûs şöhretli ProxyShell güvenlik açıklarını da kullanabiliyor.
Ağırlıklı olarak Asya’daki şirketleri ve hükümetleri hedefliyor
Worok’u keşfeden ESET araştırmacısı Thibaut Passilly hususla ilgili olarak şu açıklamayı yaptı: “Devlet kuruluşları başta olmak üzere, özel ve kamusal alanda çeşitli kesimleri maksat alan makus emelli yazılım operatörleri, Asya ve Afrika’daki yüksek profilli kuruluşlara odaklanmış durumda, bu niçinle kurbanlara ilişkin ayrıntıların peşinde olduklarını düşünüyoruz.”
2020’nin sonlarında Worok, aşağıdakiler başta olmak üzere biroldukca farklı hükümet ve şirketi maksat alıyordu: Doğu Asya’da bir telekomünikasyon şirketi, Orta Asya’da bir banka, Güneydoğu Asya’da bir denizcilik şirketi, Orta Doğu’da bir devlet kuruluşu, Güney Afrika’da özel bir şirket. Mayıs 2021’den Ocak 2022’ye kadar izlenen operasyonlarda Worok’un aksiyonlarında değerli bir orta gözlemlendi lakin küme, Şubat 2022’de odağına şu amaçları alarak geri döndü: Doğu Asya’da bir güç şirketi, Güneydoğu Asya’da bir kamu kurumu.
Kendi araçlarını geliştiren bir siber casusluk kümesi olan Worok, amaçlarına ulaşmak için mevcut araçlardan da faydalanıyor. Kümenin özel araç setinde CLRLoad ve PNGLoad isimli iki yükleyici ve PowHeartBeat isimli bir art kapı bulunuyor. CLRLoad, 2021’de kullanılan, lakin 2022’de birden fazla durumda PowHeartBeat ile değiştirilen birinci etap bir yükleyici. PNGLoad da PNG imajlarında gizlenmiş makûs gayeli yükleri bir daha oluşturmak için steganografi kullanan ikinci evreli bir yükleyici.
PowHeartBeat ise PowerShell’de yazılmış, sıkıştırma, kodlama ve şifreleme üzere çeşitli teknikler kullanılarak gizlenmiş tam özellikli bir art kapı. Bu art kapı, komut/süreç yürütme ve evrak manipülasyonu dahil olmak üzere çeşitli kabiliyetlere sahip. Örneğin, güvenliği ihlal edilmiş makinelere evrak yükleyebilir ve bu makinelerden evrak indirebilir; komuta ve denetim sunucusuna yol, uzunluk, oluşturma mühleti, erişim mühletleri ve içerik üzere belge ayrıntılarını döndürebilir; ve evrakları silme, bir daha isimlendirme ve taşıma üzere hareketleri yerine getirebilir.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
Worok, maksatlarına ulaşmak için kendi araçlarını geliştirmenin yanı sıra mevcut araçlardan da faydalanıyor. Kümenin kimi durumlarda birinci erişimi sağlamak için makûs şöhretli ProxyShell güvenlik açıklarını kullandığı da biliniyor. Kullanmakta oldukları PowerShell art kapısı PowHeartBeat’in komut/süreç yürütme, belge yükleme ve indirme dahil çeşitli kabiliyetleri mevcut.
ESET araştırmacıları yakın vakitte, Asya başta olmak üzere Orta Doğu ve Afrika’da çeşitli yüksek profilli şirketlere ve mahallî idarelere karşı belgelenmemiş araçlar kullanılan gayeye yönelik akınlar yapıldığını keşfetti. Bu ataklar, ESET’in Worok ismini verdiği evvelinde bilinmeyen bir siber casusluk kümesi tarafınca gerçekleştirildi. ESET telemetrisine bakılırsa Worok en azından 2020’den beri faal ve günümüzde de faal olmaya devam ediyor. Gayeleri içinde ise telekomünikasyon, bankacılık, denizcilik, güç, askeriye, devlet kurumları ve kamu dalından çeşitli yüksek profilli şirketler yer alıyor. Worok, kimi durumlarda birinci erişimi sağlamak için makûs şöhretli ProxyShell güvenlik açıklarını da kullanabiliyor.
Ağırlıklı olarak Asya’daki şirketleri ve hükümetleri hedefliyor
Worok’u keşfeden ESET araştırmacısı Thibaut Passilly hususla ilgili olarak şu açıklamayı yaptı: “Devlet kuruluşları başta olmak üzere, özel ve kamusal alanda çeşitli kesimleri maksat alan makus emelli yazılım operatörleri, Asya ve Afrika’daki yüksek profilli kuruluşlara odaklanmış durumda, bu niçinle kurbanlara ilişkin ayrıntıların peşinde olduklarını düşünüyoruz.”
2020’nin sonlarında Worok, aşağıdakiler başta olmak üzere biroldukca farklı hükümet ve şirketi maksat alıyordu: Doğu Asya’da bir telekomünikasyon şirketi, Orta Asya’da bir banka, Güneydoğu Asya’da bir denizcilik şirketi, Orta Doğu’da bir devlet kuruluşu, Güney Afrika’da özel bir şirket. Mayıs 2021’den Ocak 2022’ye kadar izlenen operasyonlarda Worok’un aksiyonlarında değerli bir orta gözlemlendi lakin küme, Şubat 2022’de odağına şu amaçları alarak geri döndü: Doğu Asya’da bir güç şirketi, Güneydoğu Asya’da bir kamu kurumu.
Kendi araçlarını geliştiren bir siber casusluk kümesi olan Worok, amaçlarına ulaşmak için mevcut araçlardan da faydalanıyor. Kümenin özel araç setinde CLRLoad ve PNGLoad isimli iki yükleyici ve PowHeartBeat isimli bir art kapı bulunuyor. CLRLoad, 2021’de kullanılan, lakin 2022’de birden fazla durumda PowHeartBeat ile değiştirilen birinci etap bir yükleyici. PNGLoad da PNG imajlarında gizlenmiş makûs gayeli yükleri bir daha oluşturmak için steganografi kullanan ikinci evreli bir yükleyici.
PowHeartBeat ise PowerShell’de yazılmış, sıkıştırma, kodlama ve şifreleme üzere çeşitli teknikler kullanılarak gizlenmiş tam özellikli bir art kapı. Bu art kapı, komut/süreç yürütme ve evrak manipülasyonu dahil olmak üzere çeşitli kabiliyetlere sahip. Örneğin, güvenliği ihlal edilmiş makinelere evrak yükleyebilir ve bu makinelerden evrak indirebilir; komuta ve denetim sunucusuna yol, uzunluk, oluşturma mühleti, erişim mühletleri ve içerik üzere belge ayrıntılarını döndürebilir; ve evrakları silme, bir daha isimlendirme ve taşıma üzere hareketleri yerine getirebilir.
Kaynak: (BYZHA) – Beyaz Haber Ajansı