[ Zavřít ] 


 

RSS Kanál

 

Worok jde po datech vysoce postavených v Asii KE STAŽENÍ

ESET odhalil novou špionážní skupinu Worok. Ta se zdá stojí za útoky na přední společnosti v oblastech telekomunikace, bankovnictví, námořnictva, energetiky, obrany, ale i na vládní organizace. Cíle útoků se nacházejí převážně v Asii, ale také na Blízkém východě a v Africe.

 

Worok jde po datech vysoce postavených v Asii (Zdroj: Wikipedia.org)

Výzkumníci společnosti ESET nedávno odhalili cílené útoky, které využívaly dosud neznámé nástroje, zacílené na několik předních společností a vládní organizace nacházející se převážně v Asii, ale také na Blízkém východě a v Africe. Tyto útoky spáchala dosud nezdokumentovaná kyberšpionážní skupina, kterou ESET nazval Worok.

Podle telemetrie společnosti ESET byla skupina aktivní nejméně od roku 2020 a ve svých operacích i nadále pokračuje. Mezi jejími oběťmi jsou firmy z odvětví telekomunikace, bankovnictví, námořnictva, energetiky, obrany, ale také veřejné a vládní instituce. V některých případech zneužila skupina Worok k získání prvotního přístupu ke svým cílům nechvalně známé zranitelnosti ProxyShell.

Oběti skupiny Worok se nacházejí především v Asii, na Blízkém východě a v Africe.

Mapa geolokalizace cílů skupiny Worok (Zdroj: WeLiveSecurity.com)

Mapa geolokalizace cílů skupiny Worok (Zdroj: WeLiveSecurity.com)
 

Thibaut Passilly, výzkumník Eset upřesnil, co patrně bylo výběrovým kritériem cílů Worok:

„Domníváme se, že útočníci si vybírají své oběti na základě toho, že jde o vysoce postavené cíle ze soukromé a veřejné sféry - a to napříč sektory. Ovšem zvláštní důraz skupina evidentně přikládá státním organizacím.“

Worok je špionážní skupina, která vyvíjí své vlastní nástroje a zneužívá stávající prostředky ke kompromitování svých cílů. Do vlastního arzenálu hackerů patří dva loadery - CLRLoad a PNGLoad, jakož i backdoor PowHeartBeat.

CLRLoad a PNGLoad

CLRLoad je loader použitý v první fázi útoků z roku 2021. V roce 2022 byl ve většině případů nahrazen backdoorem PowHeartBeat. PNGload je loader využívaný ve druhé fázi a pomocí steganografie (metody skryté komunikace) obnovuje škodlivý kód ukrytý v PNG obrázcích.

PowHeartBeat

PowHeartBeat je plně vybaven backdoor zapsaný v platformě PowerShell. Ke své kamufláži využívá několik technik včetně komprese, kódování a šifrování. Tento backdoor disponuje více schopnostmi, mezi něž patří provádění příkazů a nakládání se soubory.

Dokáže například nahrávat i stahovat soubory na zkompromitovaná zařízení, posílat informace o souborech (trasa, délka, čas vytvoření, přístupové časy, obsah) na řídící server a mazat, přejmenovávat či přemísťovat soubory.

Oběti Worok

Worok před rokem 2020 cílil vlády a firmy kritických oblastí průmyslu ve vícero zemích. Mezi květnem 2021 a lednem 2022 pak došlo k výraznému utlumení kyberútoků, ale v únoru 2022 se skupina Worok opět vrátila k činnosti. Z důvodů utajení jmenuje Eset zasažené společnosti jen velmi obecně - byly to:

  • do roku 2020: 
    • telekomunikační společnost ve východní Asii, 
    • banka v centrální Asii, 
    • námořní společnost v jihovýchodní Asii, 
    • vládní instituce na Blízkém východě, 
    • soukromá společnost v jižní Africe; 
  • od února 2022: 
    • energetickou společnost v centrální Asii, 
    • veřejnou instituci v jihovýchodní Asii.“

Zdroje

  • WeLiveSecurity.com
  • ESET, Public domain, via Wikimedia Commons

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Získejte PDF Eraser zdarma

Jednoduchých PDF editorů, které nevyžadují přihlášení k online účtu pro vykonání sebemenší maličkosti, už je málo. O to víc potěší, že až do 7. prosince 2022 můžete získat zdarma PDF Eraser, která přesně...

Firefox 106 s editorem PDF a snadným přechodem mezi instancemi

V Mozille se rozhodli usnadnit práci s PDFkami v prohlížeči a nabízejí základní možnosti editace přímo ve čtečce. Příznivcům anonymního módu servírují samostatný spouštěč připnutelný k hlavnímu panelu Windows. A uživatelům...

Avast dešifruje ransomware Hades

Avast uvolnil nástroj pro dešifrování dat zašifrovaných ransomwarem Hades  Nástroj  Avast Decryptor Mafiaware666 zachrání data uživatelům, kteří se stali obětmi variant Háda MafiaWare666, JCrypt, RIP Lmao a BrutusptCrypt, a to sice cracknutím...

Ostrava se může těšit na kvantový počítač LUMI-Q

Národní superpočítačové centrum v Ostravě bude hostit kvantový počítač projektu konsorcia LUMI-Q. LUMI-Q bude výkonnějším následovníkem dosavadního nejvýkonnějšího superpočítače Evropy LUMI, který se...


 
© 2005-2022 PS Media s.r.o. - digital world
 

reklama