Worok Азия ближний восток Африка ESET ProxyShell EarthWorm Mimikatz NBTscan ReGeorg PowerShell
Группа использует свои собственные инструменты для сбора конфиденциальных данных.
ESET
обнаружила
новую вредоносную кампанию, нацеленную на местные органы власти и крупнейшие организации в Азии, на Ближнем Востоке и в Африке.
Атаки проводит малоизвестная кибершпионская группировка Worok, обнаруженная исследователем ESET Тибо Пассилли. Эта группа с 2020 года атакует правительства и организации в нескольких странах, включая телекоммуникационную фирму в Восточной Азии, банк в Центральной Азии и судоходную компанию в Юго-Восточной Азии.
В своей кампании Worok атакует на организации в банковской, телекоммуникационной, морской, военной, энергетической, государственной и правительственной сферах с целью получить конфиденциальные данные.
Согласно исследованию ESET, злоумышленники использовали уязвимость ProxyShell ( CVE-2021-34523 ) для получения начального доступа. После получения первоначального доступа операторы развертывают общедоступные инструменты для дальнейшего проникновения, в том числе
EarthWorm ,
Mimikatz ,
NBTscan
и
ReGeorg .
Затем они развернули свои собственные имплантаты, включая загрузчик первого этапа, за которым следует NET-загрузчик второго этапа (PNGLoad). В качестве загрузчика первого этапа используется полнофункциональный бэкдор PowHeartBeat, написанный на PowerShell. Бэкдор может давать команды и обрабатывать выполнение, а также выполнять манипуляции с файлами
Цепочка заражения WorokОднако, исследователи не смогли определить окончательные полезные нагрузки. ESET заявила, что видимость действий группировки на данном этапе ограничена. Поэтому фирма надеется, что привлечение внимания к этой группе побудит других исследователей поделиться информацией о Worok.
SECURITYLAB.RU
.png)
