ESET araştırmacıları yakın zamanda, Asya başta olmak üzere Orta Doğu ve Afrika'da çeşitli yüksek profilli şirketlere ve yerel yönetimlere karşı belgelenmemiş araçlar kullanılan hedefe yönelik saldırılar yapıldığını keşfetti. Bu saldırılar, ESET'in Worok adını verdiği önceden bilinmeyen bir siber casusluk grubu tarafından gerçekleştirildi.

ESET telemetrisine göre Worok en azından 2020'den beri aktif ve günümüzde de aktif olmaya devam ediyor. Hedefleri arasında ise telekomünikasyon, bankacılık, denizcilik, enerji, askeriye, devlet kurumları ve kamu sektöründen çeşitli yüksek profilli şirketler yer alıyor. Worok, bazı durumlarda ilk erişimi sağlamak için kötü şöhretli ProxyShell güvenlik açıklarını da kullanabiliyor.

Ağırlıklı olarak  Asya'daki şirketleri ve hükümetleri hedefliyor

Worok’u keşfeden ESET araştırmacısı Thibaut Passilly konuyla ilgili olarak şu açıklamayı yaptı: “Devlet kuruluşları başta olmak üzere, özel ve kamusal alanda çeşitli sektörleri hedef alan kötü amaçlı yazılım operatörleri, Asya ve Afrika'daki yüksek profilli kuruluşlara odaklanmış durumda, bu nedenle kurbanlara ait bilgilerin peşinde olduklarını düşünüyoruz.” 

2020'nin sonlarında Worok, aşağıdakiler başta olmak üzere birçok farklı hükümet ve şirketi hedef alıyordu: Doğu Asya’da bir telekomünikasyon şirketi,  Orta Asya’da bir banka, Güneydoğu Asya’da bir denizcilik şirketi, Orta Doğu’da bir devlet kuruluşu, Güney Afrika’da özel bir şirket.  Mayıs 2021'den Ocak 2022'ye kadar izlenen operasyonlarda Worok'un eylemlerinde önemli bir ara gözlemlendi ancak grup, Şubat 2022'de odağına şu hedefleri alarak geri döndü: Doğu Asya’da bir enerji şirketi,  Güneydoğu Asya’da bir kamu kurumu. 

Kendi araçlarını geliştiren bir siber casusluk grubu olan Worok, hedeflerine ulaşmak için mevcut araçlardan da faydalanıyor. Grubun özel araç setinde CLRLoad ve PNGLoad adlı iki yükleyici ve PowHeartBeat adlı bir arka kapı bulunuyor. CLRLoad, 2021'de kullanılan, ancak 2022'de çoğu durumda PowHeartBeat ile değiştirilen birinci aşama bir yükleyici. PNGLoad da PNG görüntülerinde gizlenmiş kötü amaçlı yükleri yeniden oluşturmak için steganografi kullanan ikinci aşamalı bir yükleyici.

PowHeartBeat ise PowerShell'de yazılmış, sıkıştırma, kodlama ve şifreleme gibi çeşitli teknikler kullanılarak gizlenmiş tam özellikli bir arka kapı. Bu arka kapı, komut/süreç yürütme ve dosya manipülasyonu dahil olmak üzere çeşitli kabiliyetlere sahip. Örneğin, güvenliği ihlal edilmiş makinelere dosya yükleyebilir ve bu makinelerden dosya indirebilir; komuta ve kontrol sunucusuna yol, uzunluk, oluşturma süresi, erişim süreleri ve içerik gibi dosya bilgilerini döndürebilir; ve dosyaları silme, yeniden adlandırma ve taşıma gibi eylemleri yerine getirebilir.