ESET hat entdeckt, dass die Hackergruppe Worok hochrangige Einrichtungen in Asien, Afrika und im Nahen Osten ausspioniert. Den Forschern ist es gelungen, die Aktivitäten der Akteure zu enttarnen und ihre bisher unbekannten Tools zu analysieren. Die Gruppe ist seit 2020 aktiv, aber nach einer längeren Pause seit Februar 2022 wieder verstärkt unterwegs. Das Arsenal der Hacker besteht aus neuartigen, selbstentwickelten und bereits bekannten Werkzeugen.
In einigen Fällen hat die Gruppe die berüchtigten ProxyShell-Schwachstellen in Microsoft Exchange genutzt, um sich einen ersten Zugang zu verschaffen. Zum Einsatz kam hier die mit unterschiedlichen Funktionen ausgerüstete PowerShell-Backdoor PowHeartbeat. Diese ermöglicht die Ausführung von Befehlen und Prozessen sowie das Hoch- und Herunterladen von Dateien. Ihre Analyse haben die ESET Forscher nun in einem Paper auf WeliveSecurity veröffentlicht.
„Worok ist hinter sensiblen Informationen ihrer Ziele her. Dabei konzentriert sich die Cyberspionage-Gruppe auf hochrangige Einrichtungen hauptsächlich in Asien und Afrika. Die Hacker attackieren hierbei Unternehmen und Organisationen aus verschiedenen Sektoren, der Schwerpunkt liegt aber klar bei Regierungseinrichtungen“, sagt ESET-Forscher Thibaut Passilly, der Worok entdeckt hat. „Mit unserer Analyse wollen wir den Grundstein legen, damit auch andere Forscher die Aktivitäten der Gruppe weiter erforschen und uns einen tieferen Einblick ermöglichen.“
Die Ziele der Spionage-Gruppe
Bereits Ende 2020 hatte es Worok auf Regierungen und Unternehmen in mehreren Ländern abgesehen:
Von Mai 2021 bis Januar 2022 kam es zu einer längeren Unterbrechung der beobachteten Aktivitäten. Im Februar 2022 kehrte die Gruppe zurück und attackierte:
Wer ist Worok?
Die Cyberspionage-Gruppe Worok nutzt eigenentwickelte Tools und bestehende Werkzeuge, um ihre Ziele zu kompromittieren. Dazu zählen unter anderem zwei Loader, CLRLoad und PNGLoad sowie die Backdoor PowHeartBeat.
CLRLoad ist ein Loader, der 2021 verwendet, aber 2022 in den meisten Fällen durch PowHeartBeat ersetzt wurde. PNGLoad verwendet Steganografie, um in PNG-Bildern versteckte bösartige Payloads zu rekonstruieren.
Die in PowerShell geschriebene Backdoor PowHeartBeat besitzt einen großen Funktionsumfang, darunter die Ausführung von Befehlen/Prozessen und die Manipulation von Dateien. Sie verschleiert ihr Unwesen mit verschiedenen Techniken wie Komprimierung, Kodierung und Verschlüsselung. PowHeartBeat ist beispielsweise in der Lage, Dateien auf kompromittierte Computer hoch- und herunterzuladen, Dateiinformationen wie Pfad, Länge, Erstellungszeit, Zugriffszeiten und Inhalt an den Command-and-Control-Server zurückzugeben sowie Dateien zu löschen, umzubenennen und zu verschieben.
Nachdem sie sich Zugang verschafft hatten, setzten die Angreifer mehrere öffentlich verfügbare Tools zur Erkundung und Aufklärung ein, darunter Mimikatz, EarthWorm, ReGeorg und NBTscan, und verteilten anschließend dann ihre eigenen Tools: einen First Stage Loader, gefolgt von einem .NET-Loader (PNGLoad). Leider ist es uns nicht gelungen, die endgültigen Payloads aufzuspüren. Im Jahr 2021 war der First Stage Loader eine CLR-Assembly (CLRLoad), während er im Jahr 2022 in den meisten Fällen durch eine voll funktionsfähige PowerShell-Backdoor (PowHeartBeat) ersetzt wurde
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…