ESET, Yeni Bir Siber Casusluk Kümesini Ortaya Çıkardı

Samuag

New member
ESET araştırmacıları yakın vakitte, Asya başta olmak üzere Orta Doğu ve Afrika’da çeşitli yüksek profilli şirketlere ve mahallî idarelere karşı belgelenmemiş araçlar kullanılan gayeye yönelik ataklar yapıldığını keşfetti. Bu ataklar, ESET’in Worok ismini verdiği öncesinden bilinmeyen bir siber casusluk kümesi tarafınca gerçekleştirildi. ESET telemetrisine bakılırsa Worok en azından 2020’den beri etkin ve günümüzde de faal olmaya devam ediyor. Maksatları içinde ise telekomünikasyon, bankacılık, denizcilik, güç, askeriye, devlet kurumları ve kamu kesiminden çeşitli yüksek profilli şirketler yer alıyor. Worok, birtakım durumlarda birinci erişimi sağlamak için makus şöhretli ProxyShell güvenlik açıklarını da kullanabiliyor.

Worok’u keşfeden ESET araştırmacısı Thibaut Passilly mevzuyla ilgili olarak şu açıklamayı yaptı: “Devlet kuruluşları başta olmak üzere, özel ve kamusal alanda çeşitli kesimleri amaç alan berbat gayeli yazılım operatörleri, Asya ve Afrika’daki yüksek profilli kuruluşlara odaklanmış durumda, bu niçinle kurbanlara ilişkin ayrıntıların peşinde olduklarını düşünüyoruz.”


2020’nin sonlarında Worok, aşağıdakiler başta olmak üzere biroldukca farklı hükümet ve şirketi maksat alıyordu: Doğu Asya’da bir telekomünikasyon şirketi, Orta Asya’da bir banka, Güneydoğu Asya’da bir denizcilik şirketi, Orta Doğu’da bir devlet kuruluşu, Güney Afrika’da özel bir şirket. Mayıs 2021’den Ocak 2022’ye kadar izlenen operasyonlarda Worok’un aksiyonlarında kıymetli bir orta gözlemlendi fakat küme, Şubat 2022’de odağına şu amaçları alarak geri döndü: Doğu Asya’da bir güç şirketi, Güneydoğu Asya’da bir kamu kurumu.

Kendi araçlarını geliştiren bir siber casusluk kümesi olan Worok, maksatlarına ulaşmak için mevcut araçlardan da faydalanıyor. Kümenin özel araç setinde CLRLoad ve PNGLoad isimli iki yükleyici ve PowHeartBeat isimli bir art kapı bulunuyor. CLRLoad, 2021’de kullanılan, lakin 2022’de birçok durumda PowHeartBeat ile değiştirilen birinci evre bir yükleyici. PNGLoad da PNG manzaralarında gizlenmiş berbat gayeli yükleri bir daha oluşturmak için steganografi kullanan ikinci kademeli bir yükleyici.

PowHeartBeat ise PowerShell’de yazılmış, sıkıştırma, kodlama ve şifreleme üzere çeşitli teknikler kullanılarak gizlenmiş tam özellikli bir art kapı. Bu art kapı, komut/süreç yürütme ve belge manipülasyonu dahil olmak üzere çeşitli kabiliyetlere sahip. Örneğin, güvenliği ihlal edilmiş makinelere belge yükleyebilir ve bu makinelerden evrak indirebilir; komuta ve denetim sunucusuna yol, uzunluk, oluşturma müddeti, erişim müddetleri ve içerik üzere evrak ayrıntılarını döndürebilir; ve belgeleri silme, bir daha isimlendirme ve taşıma üzere aksiyonları yerine getirebilir.