קבוצת ריגול סייבר חדשה תוקפת חברות וממשלות במזה"ת ואסיה

מחקר חדש של ESET חושף קבוצת ריגול סייבר חדשה המתמקדת במטרות בעלות פרופיל גבוה מתחומי האנרגיה, הממשל והבנקאות הממוקמות במזרח התיכון, באסיה ובאפריקה | כבר בסוף שנת 2020, תקפה הקבוצה ממשלות וחברות במדינות רבות | לאחר מכן נרשמה הפסקת פעילות – שהתחדשה בפברואר השנה

סייבר, אילוסטרציה | צילום: שאטרסטוק

חוקרי ESET גילו לאחרונה מתקפות ממוקדות שניצלו כלים לא-מתועדים כנגד חברות בפרופיל גבוה וממשלות מקומיות, בעיקר באסיה אך גם במזרח התיכון ובאפריקה. המתקפות האלה בוצעו ע״י קבוצת ריגול סייבר לא-מוכרת, ו-ESET נתנה לה את השם Worok. על פי נתוני הטלמטריה של ESET, Worok פעלה החל משנת 2020 לפחות וממשיכה לפעול עד היום. בין המטרות היו חברות מתחומי התקשורת, בנקאות, ימאות, אנרגיה, ממשלה ומהסקטור הציבורי. בחלק מהמקרים, קבוצת Worok השתמשה בפרצות ProxyShell הידועות לשמצה כדי לקבל גישה ראשונית.

״אנו מאמינים שמפעילי הנוזקה מחפשים מידע אצל הקורבנות שלהם. הגענו למסקנה הזאת בעקבות ההתמקדות שלהם בפרופילים גבוהים באסיה ובאפריקה, אשר משתייכים לסקטורים שונים – פרטיים וציבוריים כאחדעם מיקום משמעותי במטרות ממשלתיות״, מציין טיבו פאסיי, חוקר ESET שגילה את קבוצת Worok.

250/200 סייד בר + קובייה

כבר בסוף שנת 2020, קבוצת Worok תקפה ממשלות וחברות במדינות רבות, ביניהן:

  • חברת תקשורת במזרח אסיה
  • בנק במרכז אסיה
  • חברת תעשייה ימית בדרום-מזרח אסיה
  • יישות ממשלתית במזרח התיכון
  • חברה פרטית באפריקה הדרומית

בין מאי 2021 לינואר 2022 נראתה הפסקה משמעותית בפעולות שנצפו, אך פעילות הקבוצה חזרה בפברואר 2022 וכוונה נגד:

  • חברת אנרגיה במרכז אסיה
  • יישות מהסקטור הציבורי בדרום-מזרח אסיה

קבוצת Worok היא קבוצת ריגול סייבר שמפתחת כלים משל עצמה ומשתמשת בכלים קיימים כדי לפרוץ למטרותיה. ארגז הכלים המיוחד של הקבוצה כולל שתי תוכנות טעינה (Loaders), CLRLoad ו-PNGLoad, ודלת אחורית שנקראת PowHeartBeat.

Inner article

 

תוכנת CLRLoad היא תוכנת טעינה משלב ראשון שהייתה בשימוש ב-2021, אך הוחלפה ב-PowHeartBeat בשנת 2022 ברוב המקרים. תוכנת PNGLoad היא תוכנת טעינה משלב שני שמשתמשת בסטגנוגרפיה כדי לבנות מחדש קבצים זדוניים שמוסתרים בקבצי תמונה מפורמט PNG.

מפה המציגה את האזורים והסקטורים שהותקפו ע"י הקבוצה

PowHeartBeat היא דלת אחורית מרובת אפשרויות שנכתבה ב-PowerShell ומוסווית באמצעות טכניקות שונות כמו כיווץ, קידוד והצפנה. לדלת האחורית הזאת יש יכולות מגוונות, ביניהן שליטה/הרצת תהליכים והורדה והעלאה של קבצים. לדוגמה, היא מסוגלת להעלות קבצים למחשבים שנפרצו ולהוריד מהם קבצים; לשלוח מידע על קובץ כמו הנתיב שלו, האורך שלו, מועד היצירה שלו, הזמנים בהם ניגשו אליו והתוכן שלו, אל שרת השליטה והבקרה; ולמחוק קבצים, לשנות את שמם ואת מיקומם.

״על אף שבשלב זה איננו יכולים לראות חלק ניכר מפעילות הקבוצה, אנחנו מקווים שהפניית הזרקור אליה תעודד חוקרים נוספים לחלוק מידע על הקבוצה הזאת", מוסיף פאסיי .

Inner 620/130

מומלץ עבורך

כתיבת תגובה