Кибершпионская группа Worok нацелена на правительства Азии и Африки

Worok Азия ближний восток Африка ESET ProxyShell EarthWorm Mimikatz NBTscan ReGeorg PowerShell
Группа использует свои собственные инструменты для сбора конфиденциальных данных.

Кибершпионская группа Worok нацелена на правительства Азии и Африки

ESET
обнаружила
новую вредоносную кампанию, нацеленную на местные органы власти и крупнейшие организации в Азии, на Ближнем Востоке и в Африке.
Атаки проводит малоизвестная кибершпионская группировка Worok, обнаруженная исследователем ESET Тибо Пассилли. Эта группа с 2020 года атакует правительства и организации в нескольких странах, включая телекоммуникационную фирму в Восточной Азии, банк в Центральной Азии и судоходную компанию в Юго-Восточной Азии.
В своей кампании Worok атакует на организации в банковской, телекоммуникационной, морской, военной, энергетической, государственной и правительственной сферах с целью получить конфиденциальные данные.
Согласно исследованию ESET, злоумышленники использовали уязвимость ProxyShell ( CVE-2021-34523 ) для получения начального доступа. После получения первоначального доступа операторы развертывают общедоступные инструменты для дальнейшего проникновения, в том числе
EarthWorm ,
Mimikatz ,
NBTscan
и
ReGeorg .
Затем они развернули свои собственные имплантаты, включая загрузчик первого этапа, за которым следует NET-загрузчик второго этапа (PNGLoad). В качестве загрузчика первого этапа используется полнофункциональный бэкдор PowHeartBeat, написанный на PowerShell. Бэкдор может давать команды и обрабатывать выполнение, а также выполнять манипуляции с файлами

Цепочка заражения Worok
Однако, исследователи не смогли определить окончательные полезные нагрузки. ESET заявила, что видимость действий группировки на данном этапе ограничена. Поэтому фирма надеется, что привлечение внимания к этой группе побудит других исследователей поделиться информацией о Worok.

SECURITYLAB.RU

Добавить комментарий

Ваш адрес email не будет опубликован.