![Worok Hacker’ları Yüksek Profilli Asyalı Şirketleri ve Hükümetleri Hedefliyor](https://kilalu.blog/news/2024-07-31-12:53/Worok Hacker’ları Yüksek Profilli Asyalı Şirketleri ve Hükümetleri Hedefliyor.jpg)
Öncelikli olarak Asya’da bulunan yüksek profilli şirketler ve yerel yönetimler, daha önce belgelenmemiş bir casusluk grubunun hedefli saldırılarına maruz kalıyor. iş 2020’nin sonundan beri aktif.
ESET araştırmacısı Thibaut Passilly, “Worok’un araç seti bir C++ yükleyici CLRLoad, bir PowerShell arka kapı PowHeartBeat ve PNG dosyalarından gizli kötü amaçlı yükleri çıkarmak için steganografi kullanan bir C# yükleyici PNGLoad içerir” söz konusu Bugün yayınlanan yeni bir raporda.
Worok’un, Asya’daki enerji, finans, denizcilik ve telekom sektörlerini kapsayan kuruluşlara ve Orta Doğu’daki bir devlet kurumuna yönelik saldırılarla bağlantılı olan TA428 olarak izlenen başka bir hasım kolektif ile araçlar ve çıkarlar bakımından örtüşmeler paylaştığı söyleniyor. Güney Afrika’da özel şirket.
Grup tarafından üstlenilen kötü amaçlı faaliyetler, bir sonraki ay devam etmeden önce Mayıs 2021’den Ocak 2022’ye kadar gözle görülür bir ara verdi. Slovak siber güvenlik firması, grubun amaçlarını bilgi hırsızlığıyla uyumlu olacak şekilde değerlendirdi.
2021 ve 2022’ye kadar ağları hedeflemek için ilk dayanak noktası, belirli durumlarda ProxyShell açıklarından yararlanmanın kullanılmasını ve ardından yerleşik erişim için ek özel arka kapıların dağıtılmasını gerektirdi. Diğer ilk uzlaşma yolları henüz bilinmiyor.
![Siber casusluk Siber casusluk](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2022/09/1662515230_290_Worok-Hackerlari-Yuksek-Profilli-Asyali-Sirketleri-ve-Hukumetleri-Hedefliyor.jpg)
Worok’un kötü amaçlı yazılım cephaneliğindeki araçlar arasında, bir PNG resim dosyasına gömülü bilinmeyen bir PowerShell komut dosyasını çalıştırabilen PNGLoad kod adlı .NET tabanlı bir steganografik yükleyici tarafından yerine getirilen CLRLoad adlı birinci aşama yükleyici bulunur.
2022’deki enfeksiyon zincirleri, HTTP veya uzak bir sunucuyla iletişim kurmanın yanı sıra, daha sonra PNGLoad’ı başlatmak için kullanılan PowHeartBeat olarak adlandırılan tam özellikli bir PowerShell implantı lehine CLRLoad’ı bıraktı. ICMP keyfi komutları yürütmek, dosya göndermek ve almak ve ilgili dosya işlemlerini yürütmek.
ESET, kötü amaçlı yazılımın geçerli, zararsız görünen PNG görüntülerinde gizlenebileceğinden ve bu nedenle dikkat çekmeden “düz görüşte saklanabileceğinden” şüphelenilmesine rağmen, son aşamadaki PNG yüklerinden hiçbirini alamadığını söyledi.
Passilly, “Worok, hedeflerini tehlikeye atmak için kendi araçlarını geliştirmenin yanı sıra mevcut araçlardan da yararlanan bir siber casusluk grubudur.” Dedi.
“Operatörlerin peşinde olduklarına inandığımız şey, kurbanlarından bilgi çalmak, çünkü Asya ve Afrika’daki yüksek profilli kuruluşlara odaklanıyorlar, hem özel hem de kamu olmak üzere çeşitli sektörleri hedef alıyorlar, ancak devlet kuruluşlarına özel bir vurgu yapıyor.”
Popular Articles
- 17 Aug Zürafalar Sessizce Yok Oluyor!
- 23 Jul Saudi Aramcoda yönetim değişikliği halka arzı hızlandıracak
- 20 Jul DSP Lideri Önder Aksakalın Deniz Gezmiş Açıklaması Tepki Çekti! Bugün Olsaydı Erdoğana Oy Verirdi
- 08 Aug ABD: İsraile veya Gazzeye asker gönderme planımız veya niyetimiz yok
- 23 Jul Kemal Kılıçdaroğlundan Zafer Partisine ziyaret
Latest Articles
- 24 Jul Nvidia, RTX 4000 GPU duyurusunu “Project Beyond” ile dalga geçiyor
- 03 Aug Geliştiriciler Hangi Uygulama İçi Satın Alım İçin Ne Kadar Vergi Ödediklerini Applea Bildirebilecekler
- 08 Aug Karbonsuz Geleceğe ‘Yelken Açan’ Nükleer Enerjili Ticaret Gemileri: Geçmişi Nasıldı, Geleceği Nasıl Olacak?
- 17 Jul IPhone Şifrenizi Polislerin Dahi Kıramayacağı Şekilde Nasıl Değiştirirsiniz?
- 17 Aug Twitter TV reytinglerini etkiliyor olabilir mi?