至少自 2020 年以来,一个新发现的网络间谍组织一直在使用自定义和现有恶意工具的组合对亚洲的政府和知名公司进行黑客攻击。
最初发现它的 ESET 安全研究人员将其追踪为 Worok,该威胁组织还攻击了来自非洲和中东的目标。
迄今为止,Worok 与针对电信、银行、海事和能源公司以及军事、政府和公共部门实体的攻击有关。
2020年底,Worok针对东亚的一家电信公司、中亚的一家银行、东南亚的一家海运业公司、中东的一家政府实体和南部非洲的一家私营公司。
虽然直到 2022 年 2 月才出现目击事件,但 ESET 再次将该组织与针对中亚一家能源公司和东南亚一家公共部门实体的新攻击联系起来。
工作攻击地图(ESET)
ESET 恶意软件研究员 Thibaut Passilly 表示:“我们认为,恶意软件运营商正在从受害者那里获取信息,因为他们专注于亚洲和非洲的知名实体,针对各个部门,包括私营和公共部门,但特别强调政府实体。” .
尽管该组织使用 ProxyShell 漏洞来获得对其受害者网络的初始访问权限,但对于大多数违规行为,初始访问向量仍然未知。
“在这种情况下,通常会在利用这些漏洞后上传 webshell,以便在受害者的网络中提供持久性。然后运营商使用各种植入物来获得进一步的功能,” Passilly 补充道。
Worok 的恶意工具集包括两个加载器,一个称为 CLRLoad 的 C++ 加载器和一个称为 PNGLoad 的 C# 加载器,可帮助攻击者使用隐写术将恶意软件负载隐藏在 PNG 图像文件中。
尽管 ESET 尚未检索到该组织攻击中交付的最终有效载荷之一,但它确实发现了一个名为 PowHeartBeat 的新 PowerShell 后门,它取代了自 2022 年 2 月以来观察到的事件中的 CLRLoad,作为旨在在受感染系统上启动 PNGLoad 的工具。
工作攻击链 (ESET)
PowHeartBeat 具有广泛的功能,包括文件操作和命令或进程执行,以及向受害者设备上传或下载文件。
“活动时间和工具集表明与 TA428 可能存在联系,但我们做出此评估的信心不足,”Passilly 总结道。
“虽然我们的能见度有限,但我们希望对这个群体的了解将鼓励其他研究人员分享关于这个群体的信息。”
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » New Worok网络间谍黑客组织对亚洲国家政府和知名公司进行攻击
