Cyberspionage-Gruppe Worok aufgedeckt

ESET hat entdeckt, dass die Hackergruppe Worok hochrangige Einrichtungen in Asien, Afrika und im Nahen Osten ausspioniert.  Den Forschern ist es gelungen, die Aktivitäten der Akteure zu enttarnen und ihre bisher unbekannten Tools zu analysieren. Die Gruppe ist seit 2020 aktiv, aber nach einer längeren Pause seit Februar 2022 wieder verstärkt unterwegs. Das Arsenal der Hacker besteht aus neuartigen, selbstentwickelten und bereits bekannten Werkzeugen.

In einigen Fällen hat die Gruppe die berüchtigten ProxyShell-Schwachstellen in Microsoft Exchange genutzt, um sich einen ersten Zugang zu verschaffen. Zum Einsatz kam hier die mit unterschiedlichen Funktionen ausgerüstete PowerShell-Backdoor PowHeartbeat. Diese ermöglicht die Ausführung von Befehlen und Prozessen sowie das Hoch- und Herunterladen von Dateien. Ihre Analyse haben die ESET Forscher nun in einem Paper auf WeliveSecurity veröffentlicht.

„Worok ist hinter sensiblen Informationen ihrer Ziele her. Dabei konzentriert sich die Cyberspionage-Gruppe auf hochrangige Einrichtungen hauptsächlich in Asien und Afrika. Die Hacker attackieren hierbei Unternehmen und Organisationen aus verschiedenen Sektoren, der Schwerpunkt liegt aber klar bei Regierungseinrichtungen“, sagt ESET-Forscher Thibaut Passilly, der Worok entdeckt hat. „Mit unserer Analyse wollen wir den Grundstein legen, damit auch andere Forscher die Aktivitäten der Gruppe weiter erforschen und uns einen tieferen Einblick ermöglichen.“

Die Ziele der Spionage-Gruppe

Bereits Ende 2020 hatte es Worok auf Regierungen und Unternehmen in mehreren Ländern abgesehen:

• Ein Telekommunikationsunternehmen in Ostasien
• Eine Bank in Zentralasien
• Ein Unternehmen der maritimen Industrie in Südostasien
• Eine staatliche Einrichtung im Nahen Osten
• Ein privates Unternehmen im südlichen Afrika

Von Mai 2021 bis Januar 2022 kam es zu einer längeren Unterbrechung der beobachteten Aktivitäten. Im Februar 2022 kehrte die Gruppe zurück und attackierte:

• Ein Energieunternehmen in Zentralasien
• Ein Unternehmen des öffentlichen Sektors in Südostasien

Wer ist Worok?

Die Cyberspionage-Gruppe Worok nutzt eigenentwickelte Tools und bestehende Werkzeuge, um ihre Ziele zu kompromittieren. Dazu zählen unter anderem zwei Loader, CLRLoad und PNGLoad sowie die Backdoor PowHeartBeat.

CLRLoad ist ein Loader, der 2021 verwendet, aber 2022 in den meisten Fällen durch PowHeartBeat ersetzt wurde. PNGLoad verwendet Steganografie, um in PNG-Bildern versteckte bösartige Payloads zu rekonstruieren.

Die in PowerShell geschriebene Backdoor PowHeartBeat besitzt einen großen Funktionsumfang, darunter die Ausführung von Befehlen/Prozessen und die Manipulation von Dateien. Sie verschleiert ihr Unwesen mit verschiedenen Techniken wie Komprimierung, Kodierung und Verschlüsselung. PowHeartBeat ist beispielsweise in der Lage, Dateien auf kompromittierte Computer hoch- und herunterzuladen, Dateiinformationen wie Pfad, Länge, Erstellungszeit, Zugriffszeiten und Inhalt an den Command-and-Control-Server zurückzugeben sowie Dateien zu löschen, umzubenennen und zu verschieben.

Nachdem sie sich Zugang verschafft hatten, setzten die Angreifer mehrere öffentlich verfügbare Tools zur Erkundung und Aufklärung ein, darunter Mimikatz, EarthWorm, ReGeorg und NBTscan, und verteilten anschließend dann ihre eigenen Tools: einen First Stage Loader, gefolgt von einem .NET-Loader (PNGLoad). Leider ist es uns nicht gelungen, die endgültigen Payloads aufzuspüren. Im Jahr 2021 war der First Stage Loader eine CLR-Assembly (CLRLoad), während er im Jahr 2022 in den meisten Fällen durch eine voll funktionsfähige PowerShell-Backdoor (PowHeartBeat) ersetzt wurde