ESET yeni bir siber casusluk grubunu ortaya çikardi

ESET arastirmacilari,  Worok adini verdikleri önceden bilinmeyen bir siber casusluk grubunu gün yüzüne çikardi. Worok telekomünikasyon, bankacilik, denizcilik, enerji, askeriye, devlet kurumlari ve kamu sektöründen çesitli yüksek profilli sirketlere saldirilar düzenliyor. Hedefleri Asya basta olmak üzere, Orta Dogu ve Afrika'da bulunuyor.

Worok, hedeflerine ulasmak için kendi araçlarini gelistirmenin yani sira mevcut araçlardan da faydalaniyor. Grubun bazi durumlarda ilk erisimi saglamak için kötü söhretli ProxyShell güvenlik açiklarini kullandigi da biliniyor. Kullanmakta olduklari PowerShell arka kapisi PowHeartBeat'in komut/süreç yürütme, dosya yükleme ve indirme dahil çesitli kabiliyetleri mevcut. 

ESET arastirmacilari yakin zamanda, Asya basta olmak üzere Orta Dogu ve Afrika'da çesitli yüksek profilli sirketlere ve yerel yönetimlere karsi belgelenmemis araçlar kullanilan hedefe yönelik saldirilar yapildigini kesfetti. Bu saldirilar, ESET'in Worok adini verdigi önceden bilinmeyen bir siber casusluk grubu tarafindan gerçeklestirildi. ESET telemetrisine göre Worok en azindan 2020'den beri aktif ve günümüzde de aktif olmaya devam ediyor. Hedefleri arasinda ise telekomünikasyon, bankacilik, denizcilik, enerji, askeriye, devlet kurumlari ve kamu sektöründen çesitli yüksek profilli sirketler yer aliyor. Worok, bazi durumlarda ilk erisimi saglamak için kötü söhretli ProxyShell güvenlik açiklarini da kullanabiliyor.

Agirlikli olarak  Asya'daki sirketleri ve hükümetleri hedefliyor

Worok’u kesfeden ESET arastirmacisi Thibaut Passilly konuyla ilgili olarak su açiklamayi yapti: “Devlet kuruluslari basta olmak üzere, özel ve kamusal alanda çesitli sektörleri hedef alan kötü amaçli yazilim operatörleri, Asya ve Afrika'daki yüksek profilli kuruluslara odaklanmis durumda, bu nedenle kurbanlara ait bilgilerin pesinde olduklarini düsünüyoruz.” 

2020'nin sonlarinda Worok, asagidakiler basta olmak üzere birçok farkli hükümet ve sirketi hedef aliyordu: Dogu Asya’da bir telekomünikasyon sirketi,  Orta Asya’da bir banka, Güneydogu Asya’da bir denizcilik sirketi, Orta Dogu’da bir devlet kurulusu, Güney Afrika’da özel bir sirket.  Mayis 2021'den Ocak 2022'ye kadar izlenen operasyonlarda Worok'un eylemlerinde önemli bir ara gözlemlendi ancak grup, Subat 2022'de odagina su hedefleri alarak geri döndü: Dogu Asya’da bir enerji sirketi,  Güneydogu Asya’da bir kamu kurumu. 

Kendi araçlarini gelistiren bir siber casusluk grubu olan Worok, hedeflerine ulasmak için mevcut araçlardan da faydalaniyor. Grubun özel araç setinde CLRLoad ve PNGLoad adli iki yükleyici ve PowHeartBeat adli bir arka kapi bulunuyor. CLRLoad, 2021'de kullanilan, ancak 2022'de çogu durumda PowHeartBeat ile degistirilen birinci asama bir yükleyici. PNGLoad da PNG görüntülerinde gizlenmis kötü amaçli yükleri yeniden olusturmak için steganografi kullanan ikinci asamali bir yükleyici.

PowHeartBeat ise PowerShell'de yazilmis, sikistirma, kodlama ve sifreleme gibi çesitli teknikler kullanilarak gizlenmis tam özellikli bir arka kapi. Bu arka kapi, komut/süreç yürütme ve dosya manipülasyonu dahil olmak üzere çesitli kabiliyetlere sahip. Örnegin, güvenligi ihlal edilmis makinelere dosya yükleyebilir ve bu makinelerden dosya indirebilir; komuta ve kontrol sunucusuna yol, uzunluk, olusturma süresi, erisim süreleri ve içerik gibi dosya bilgilerini döndürebilir; ve dosyalari silme, yeniden adlandirma ve tasima gibi eylemleri yerine getirebilir.