info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

هکرهای Worok شرکت‌ها و دولت‌های آسیایی را هدف قرار می‌دهند

برخی از شرکت‌های بزرگ و دولت‌ که عمدتاً در آسیا واقع شده‌اند، مورد حملات هدفمند گروه جاسوسی Worok قرار گرفتند. این گروه از اواخر سال ۲۰۲۰ فعال شده است. Thibaut Passilly، محقق ESET در گزارش جدیدی که ۱۵شهریور ماه منتشر شده است اشاره کرده که ابزار Worok شامل C++ loader CLRLoad، یک درب پشتی PowerShell PowHeartBeat و C# loader PNGLoad است که از استگانوگرافی برای به دست آوردن payloadهای مخرب پنهان از فایل‌های PNG استفاده می‌کند.

برخی معتقدند که Worok در ابزارها و منافع با یک گروه متخاصم دیگر به نام TA428 همپوشانی دارد. این گروه به حملات علیه نهادهایی مرتبط است که بخش‌های انرژی، مالی، دریایی و مخابراتی در آسیا و همچنین یک آژانس دولتی در خاورمیانه و شرکت خصوصی در جنوب آفریقا را هدف قرار داده است.