ESET araştırmacıları, Worok adını verdikleri önceden bilinmeyen bir siber casusluk grubunu gün yüzüne çıkardı.
Worok telekomünikasyon, bankacılık, denizcilik, enerji, askeriye, devlet kurumları ve kamu sektöründen çeşitli yüksek profilli şirketlere saldırılar düzenliyor. Hedefleri Asya başta olmak üzere, Orta Doğu ve Afrika’da bulunuyor.
Worok, hedeflerine ulaşmak için kendi araçlarını geliştirmenin yanı sıra mevcut araçlardan da faydalanıyor. Grubun bazı durumlarda ilk erişimi sağlamak için kötü şöhretli ProxyShell güvenlik açıklarını kullandığı da biliniyor. Kullanmakta oldukları PowerShell arka kapısı PowHeartBeat’in komut/süreç yürütme, dosya yükleme ve indirme dahil çeşitli kabiliyetleri mevcut.
Hedef: Asya’daki şirketler ve hükümetler
Worok’u keşfeden ESET araştırmacısı Thibaut Passilly konuyla ilgili olarak şu açıklamayı yaptı:
“Devlet kuruluşları başta olmak üzere, özel ve kamusal alanda çeşitli sektörleri hedef alan kötü amaçlı yazılım operatörleri, Asya ve Afrika’daki yüksek profilli kuruluşlara odaklanmış durumda, bu nedenle kurbanlara ait bilgilerin peşinde olduklarını düşünüyoruz.”
2020’nin sonlarında Doğu Asya’da bir telekomünikasyon şirketi, Orta Asya’da bir banka, Güneydoğu Asya’da bir denizcilik şirketi, Orta Doğu’da bir devlet kuruluşu, Güney Afrika’da özel bir şirket gibi birçok farklı hükümet ve şirketi hedef alan Worok, Şubat 2022’de odağına şu hedefleri alarak geri döndü: Doğu Asya’da bir enerji şirketi, Güneydoğu Asya’da bir kamu kurumu.