Дослідники ESET виявили нову групу кібершпигунів

Наступна новина

Компанія ESET ― лідер у галузі інформаційної безпеки ― виявила цілеспрямовані атаки нової групи кібершпигунів Worok. Серед цілей зловмисників були різні телекомунікаційні та банківські компанії, енергетичні та військові підприємства, а також державні організації.

Відповідно до даних телеметрії ESET, група кіберзлочинців Worok активна принаймні з 2020 року та продовжує свою діяльність до сьогодні. У деяких випадках зловмисники використовували уразливості ProxyShell для отримання початкового доступу.

«Ми вважаємо, що кіберзлочинці націлені на отримання інформації жертв, оскільки вони зосереджуються на відомих організаціях з різних галузей у країнах Азії та Африки, але особливий акцент зловмисники роблять на державних установах», — коментує дослідник ESET.

З травня 2021 року до січня 2022 року спостерігалася перерва у діяльності групи. Однак вже в лютому цього року активність Worok відновилась, що підтверджує атака на енергетичну компанію в Центральній Азії та державну організацію в Південно-Східній Азії.

Варто зазначити, що група кібершпигунів Worok розробляє власні інструменти та використовує наявні для компрометації своїх цілей. Спеціальний набір інструментів зловмисників містить два завантажувачі — CLRLoad та PNGLoad, а також бекдор PowHeartBeat.

Зокрема завантажувач першого етапу CLRLoad використовувався у 2021 році, але у 2022 році у більшості випадків був замінений на бекдор PowHeartBeat. Тоді як завантажувач другого етапу PNGLoad використовує метод приховування інформації для перебудови шкідливих компонентів, які маскуються під зображення у форматі PNG.

PowHeartBeat — це повнофункціональний бекдор, який написаний мовою PowerShell та створений з використанням різних методів заплутування, таких як стиснення, кодування та шифрування. Бекдор має різні можливості, зокрема він виконує команди та процеси, а також здійснює різні маніпуляції з файлами.

Державні установи та великі компанії завжди будуть привабливою ціллю для кіберзлочинців, особливо сьогодні під час гібридної війни росії проти України. Щоб зменшити потенційні ризики, варто створити багаторівневу систему кіберзахисту. Зокрема компаніям вже зараз слід забезпечити всебічний захист робочих станційрозширений аналіз загрозвиявлення та реагування, а також запобігання втраті конфіденційних даних.

 

Читайте також:

Як посилити кібербезпеку компанії в умовах постійних атак ― 6 простих кроків

Загроза Industroyer: кіберзброя для атак на електромережу

Safetica надає українським компаніям безкоштовні ліцензії на DLP-рішення