enflasyonemeklilikötvdövizakpchpmhphaberspormagazin
DOLAR
34,4951
EURO
36,4206
ALTIN
2.957,31
BIST
9.298,54
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
İstanbul
Parçalı Bulutlu
18°C
İstanbul
18°C
Parçalı Bulutlu
Cuma Yağmurlu
18°C
Cumartesi Parçalı Bulutlu
9°C
Pazar Çok Bulutlu
10°C
Pazartesi Parçalı Bulutlu
11°C

ESET yeni bir siber casusluk grubunu ortaya çıkardı

ESET araştırmacıları,  Worok adını verdikleri önceden bilinmeyen bir siber casusluk grubunu gün yüzüne çıkardı.

14.09.2022
0
A+
A-

ESET araştırmacıları,  Worok adını verdikleri önceden bilinmeyen bir siber casusluk grubunu gün yüzüne çıkardı. Worok telekomünikasyon, bankacılık, denizcilik, enerji, askeriye, devlet kurumları ve kamu sektöründen çeşitli yüksek profilli şirketlere saldırılar düzenliyor. Hedefleri Asya başta olmak üzere, Orta Doğu ve Afrika'da bulunuyor.

 

Worok, hedeflerine ulaşmak için kendi araçlarını geliştirmenin yanı sıra mevcut araçlardan da faydalanıyor. Grubun bazı durumlarda ilk erişimi sağlamak için kötü şöhretli ProxyShell güvenlik açıklarını kullandığı da biliniyor. Kullanmakta oldukları PowerShell arka kapısı PowHeartBeat'in komut/süreç yürütme, dosya yükleme ve indirme dahil çeşitli kabiliyetleri mevcut. 

 

ESET araştırmacıları yakın zamanda, Asya başta olmak üzere Orta Doğu ve Afrika'da çeşitli yüksek profilli şirketlere ve yerel yönetimlere karşı belgelenmemiş araçlar kullanılan hedefe yönelik saldırılar yapıldığını keşfetti. Bu saldırılar, ESET'in Worok adını verdiği önceden bilinmeyen bir siber casusluk grubu tarafından gerçekleştirildi. ESET telemetrisine göre Worok en azından 2020'den beri aktif ve günümüzde de aktif olmaya devam ediyor. Hedefleri arasında ise telekomünikasyon, bankacılık, denizcilik, enerji, askeriye, devlet kurumları ve kamu sektöründen çeşitli yüksek profilli şirketler yer alıyor. Worok, bazı durumlarda ilk erişimi sağlamak için kötü şöhretli ProxyShell güvenlik açıklarını da kullanabiliyor.

 

Ağırlıklı olarak  Asya'daki şirketleri ve hükümetleri hedefliyor

Worok’u keşfeden ESET araştırmacısı Thibaut Passilly konuyla ilgili olarak şu açıklamayı yaptı: “Devlet kuruluşları başta olmak üzere, özel ve kamusal alanda çeşitli sektörleri hedef alan kötü amaçlı yazılım operatörleri, Asya ve Afrika'daki yüksek profilli kuruluşlara odaklanmış durumda, bu nedenle kurbanlara ait bilgilerin peşinde olduklarını düşünüyoruz.” 

 

2020'nin sonlarında Worok, aşağıdakiler başta olmak üzere birçok farklı hükümet ve şirketi hedef alıyordu: Doğu Asya’da bir telekomünikasyon şirketi,  Orta Asya’da bir banka, Güneydoğu Asya’da bir denizcilik şirketi, Orta Doğu’da bir devlet kuruluşu, Güney Afrika’da özel bir şirket.  Mayıs 2021'den Ocak 2022'ye kadar izlenen operasyonlarda Worok'un eylemlerinde önemli bir ara gözlemlendi ancak grup, Şubat 2022'de odağına şu hedefleri alarak geri döndü: Doğu Asya’da bir enerji şirketi,  Güneydoğu Asya’da bir kamu kurumu. 

 

Kendi araçlarını geliştiren bir siber casusluk grubu olan Worok, hedeflerine ulaşmak için mevcut araçlardan da faydalanıyor. Grubun özel araç setinde CLRLoad ve PNGLoad adlı iki yükleyici ve PowHeartBeat adlı bir arka kapı bulunuyor. CLRLoad, 2021'de kullanılan, ancak 2022'de çoğu durumda PowHeartBeat ile değiştirilen birinci aşama bir yükleyici. PNGLoad da PNG görüntülerinde gizlenmiş kötü amaçlı yükleri yeniden oluşturmak için steganografi kullanan ikinci aşamalı bir yükleyici.

 

PowHeartBeat ise PowerShell'de yazılmış, sıkıştırma, kodlama ve şifreleme gibi çeşitli teknikler kullanılarak gizlenmiş tam özellikli bir arka kapı. Bu arka kapı, komut/süreç yürütme ve dosya manipülasyonu dahil olmak üzere çeşitli kabiliyetlere sahip. Örneğin, güvenliği ihlal edilmiş makinelere dosya yükleyebilir ve bu makinelerden dosya indirebilir; komuta ve kontrol sunucusuna yol, uzunluk, oluşturma süresi, erişim süreleri ve içerik gibi dosya bilgilerini döndürebilir; ve dosyaları silme, yeniden adlandırma ve taşıma gibi eylemleri yerine getirebilir.

Kaynak: (BYZHA) – Beyaz Haber Ajansı

REKLAM ALANI
Yorumlar

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.