ESET, Yeni Bir Siber Casusluk Grubunu Ortaya Çıkardı

featured
service
Paylaş

Bu Yazıyı Paylaş

veya linki kopyala
ESET, Yeni Bir Siber Casusluk Kümesini Ortaya Çıkardı.

ESET araştırmacıları yakın vakitte, Asya başta olmak üzere Orta Doğu ve Afrika’da çeşitli yüksek profilli şirketlere ve lokal idarelere karşı belgelenmemiş araçlar kullanılan gayeye yönelik ataklar yapıldığını keşfetti. Bu akınlar, ESET’in Worok ismini verdiği evvelce bilinmeyen bir siber casusluk kümesi tarafından gerçekleştirildi. ESET telemetrisine nazaran Worok en azından 2020’den beri faal ve günümüzde de faal olmaya devam ediyor. Gayeleri ortasında ise telekomünikasyon, bankacılık, denizcilik, güç, askeriye, devlet kurumları ve kamu bölümünden çeşitli yüksek profilli şirketler yer alıyor. Worok, kimi durumlarda birinci erişimi sağlamak için makus şöhretli ProxyShell güvenlik açıklarını da kullanabiliyor.

Worok’u keşfeden ESET araştırmacısı Thibaut Passilly hususla ilgili olarak şu açıklamayı yaptı: “Devlet kuruluşları başta olmak üzere, özel ve kamusal alanda çeşitli bölümleri gaye alan berbat hedefli yazılım operatörleri, Asya ve Afrika’daki yüksek profilli kuruluşlara odaklanmış durumda, bu nedenle kurbanlara ilişkin bilgilerin peşinde olduklarını düşünüyoruz.”

Yeni Bir Siber Casusluk

2020’nin sonlarında Worok, aşağıdakiler başta olmak üzere birçok farklı hükümet ve şirketi gaye alıyordu: Doğu Asya’da bir telekomünikasyon şirketi,  Orta Asya’da bir banka, Güneydoğu Asya’da bir denizcilik şirketi, Orta Doğu’da bir devlet kuruluşu, Güney Afrika’da özel bir şirket.  Mayıs 2021’den Ocak 2022’ye kadar izlenen operasyonlarda Worok’un aksiyonlarında kıymetli bir orta gözlemlendi fakat küme, Şubat 2022’de odağına şu amaçları alarak geri döndü: Doğu Asya’da bir güç şirketi,  Güneydoğu Asya’da bir kamu kurumu.Yeni Bir Siber Casusluk

Kendi araçlarını geliştiren bir siber casusluk kümesi olan Worok, maksatlarına ulaşmak için mevcut araçlardan da faydalanıyor. Kümenin özel araç setinde CLRLoad ve PNGLoad isimli iki yükleyici ve PowHeartBeat isimli bir art kapı bulunuyor. CLRLoad, 2021’de kullanılan, fakat 2022’de birçok durumda PowHeartBeat ile değiştirilen birinci basamak bir yükleyici. PNGLoad da PNG imgelerinde gizlenmiş makûs gayeli yükleri yine oluşturmak için steganografi kullanan ikinci kademeli bir yükleyici.Yeni Bir Siber Casusluk

PowHeartBeat ise PowerShell’de yazılmış, sıkıştırma, kodlama ve şifreleme üzere çeşitli teknikler kullanılarak gizlenmiş tam özellikli bir art kapı. Bu art kapı, komut/süreç yürütme ve belge manipülasyonu dahil olmak üzere çeşitli kabiliyetlere sahip. Örneğin, güvenliği ihlal edilmiş makinelere evrak yükleyebilir ve bu makinelerden evrak indirebilir; komuta ve denetim sunucusuna yol, uzunluk, oluşturma mühleti, erişim müddetleri ve içerik üzere evrak bilgilerini döndürebilir; ve belgeleri silme, tekrar isimlendirme ve taşıma üzere hareketleri yerine getirebilir.Yeni Bir Siber Casusluk

Yeni Bir Siber Casusluk

Yeni Bir Siber Casusluk

0
mutlu
Mutlu
0
_zg_n
Üzgün
0
sinirli
Sinirli
0
_a_rm_
Şaşırmış
0
vir_sl_
Virüslü
ESET, Yeni Bir Siber Casusluk Kümesini Ortaya Çıkardı 2022

Tamamen Ücretsiz Olarak Bültenimize Abone Olabilirsin

Yeni haberlerden haberdar olmak için fırsatı kaçırma ve ücretsiz e-posta aboneliğini hemen başlat.

Yorumlar kapalı.

error: İçerik Korunmaktadır !!
Bizi Takip Edin