Güvenlik uzmanları Asya, Ortadoğu ve Afrika’da yerel hükümetleri ve yüksek profilli şirketleri hedef alan yeni bir kötü amaçlı yazılım kampanyası tespit etti: Worok.
En son tespit edilen saldırılarda, belgelenmemiş saldırı araçlarını kullanan, az tanınan siber korsan örgütünün Worok olduğu belirtildi. 2020’den bu yana aktif olan Worok’un birçok ülkeyi hedef alan saldırılar düzenlediği biliniyor. Bunlar arasında Doğu Asya’da bir telekom şirketi, Orta Asya’da bir banka ve Güneydoğı Asya merkezli bir denizcilik şirketi bulunuyor.
Worok’un saldırı öncelikleri arasında bankacılık, telekomünikasyon, denizcilik, askeriye, enerji, kamu sektörleri ve yerel hükümetler yer alıyor. Sanayi casusluğuna odaklanan Worok, saldırılarında özel olarak belirlediği hedefler üzerinde kendi geliştirdiği araçları kullanıyor. 2021’de Worok’un kullandığı “alet çantası” şu araçları içeriyordu:
-CLRoad (ilk kademe yükleyici)
-PNGLoad (ikinci kademe yükleyici).
-PowerShell ile yazılan PowHeartBeat arka kapı trojan
Arka kapı, uygulama komutu verip uygulamaya geçirdiği gibi dosyalara da müdahale edebiliyor.
Saldırıların detayları
Güvenlik uzmanlarına göre, saldırganlar 2021’de düzenlenen saldırıların bazılarında kötü şöhretli ProxyShell (CVE-2021-34523) hassasiyeti ile sistemlere ilk girişi sağladı. Kötü amaçlı yazılımları ile hedeflerinden hassas bilgiler çalmaya çalışan Worok’un, Asya ve Afrika’daki yüksek profilli şirket ve varlıklara odaklandığı belirtildi.
Worok, saldırılarında kamu ve özel sektör ayrımı da yapmadı. Ek olarak, siber örgüt hükümet kurumlarını da hedef alıyor.
Sistemlere ilk kez erişim sağlanmasının ardından, siber korsanlar sistemlere daha fazla sızabilmek için kamu erişimine açık çeşitli araçlar kullanıyor. Herkesin internetten ulaşabileceği bu araçlar arasında EarthWorm, Mimikatz, NBTscan, ReGeorg yer alıyor. Ardından, Worok kendi özelleştirdiği araçları kullanıyor ve ilk önce ilk kademe yükleyici, sonra ikinci kademe .NET yükleyicisini aktif ediyor. Öte yandan, saldırıları inceleyen araştırmacılar nihai taşıma yüklerini tespit edemedi.
Worok’un 2020’den bu yana faaliyetlerine yönelik inceleme, Mayıs 2021 ve Ocak 2022 arasında örgütün bir ara verdiğini gösteriyor. Ardından, Şubat 2022’de tekrar ortaya çıkan örgüt, Orta Asya’da bir enerji şirketine ve Güneydoğu Asya’da bir kamu sektörü organizasyonuna saldırdı.
Güvenlik uzmanları, Worok üzerindeki bulguların çok fazla olmadığını ancak zamanla başka uzmanların da araştırmaya katılarak siber örgüt hakkında daha fazla bilgi ortaya çıkaracağını umuyor.
Kaynak: Hackread