Worok というサイバースパイ・グループ が登場:アジアの政府機関や著名企業を攻撃

New Worok cyber-espionage group targets governments, high-profile firms

2022/09/06 BleepingComputer — 既存の悪意のツールとカスタム・ツールを組み合わせて、2020年頃からアジアの政府や著名な企業をハッキングしている、新たなサイバースパイ・グループが発見された。最初に発見した ESET セキュリティ研究者たちにより、Worok として名付けられ追跡されている脅威グループは、アフリカと中東も攻撃の標的としている。これまでに Worok は、通信/銀行/海運/エネルギーなどの企業や、軍事/政府/公共部門の事業体に対する攻撃に、関与してきたとされる。

同グループは、2020年の後半に、東アジアの通信会社/中央アジアの銀行/東南アジアの海事産業会社/中東の政府機関/アフリカ南部の民間企業を標的としていた。2022年2月までは、証拠が発見されなかったが、中央アジアのエネルギー会社と東南アジアの公共部門組織に対する新たな攻撃と、このグループを、再び ESET が関連付けた。

Worok の攻撃マップ (ESET)


ESET のマルウェア研究者である Thibaut Passilly は、「Worok は、アジアとアフリカの著名な組織を中心に、民間/公共を問わず、様々なセクターをターゲットにしている。しかし、特に政府機関に重点を置いていることから、マルウェアのオペレーターは、被害者の情報を狙っていると考えられる」と述べている。

Worok は、被害者のネットワークへのイニシャル・アクセスに、ProxyShell エクスプロイトを使用していたが、その侵害の大部分における最初のアクセス・ベクターは不明のままである。

Thibaut Passilly は、「このような場合、被害者のネットワークに永続性を持たせるために、一般的には、それらの脆弱性を悪用した後に、Web シェルがアップロードされる。そして、その後に、オペレーターは、さまざまなインプラントを使用して、さらなる機能を獲得していく」と付け加えている。

Worok の悪意のツールセットには、CLRLoad と呼ばれる C++ ローダーと、PNGLoad と呼ばれる C# ローダーの、2つのローダーが含まれている。これにより、攻撃者は、ステガノグラフィーを用いて、PNG 画像ファイルにマルウェアのペイロードを隠すことが可能になる。

ESETは、このグループの攻撃で配信された、最終的なペイロードの1つをまだ回収していないが、PowHeartBeat と呼ばれる新しい PowerShell バックドアを発見した。このバックドアは、感染したシステム上で PNGLoad を起動するために設計されたツールとして、2022年2月以降に観測されたインシデントで CLRLoad に取って代わっている。

Worok attack chains
Worok の攻撃チェーン (ESET)

PowHeartBeat は、ファイル操作や、コマンド/プロセスの実行、被害者のデバイスに対するファイルのアップロード/ダウンロードなどの、幅広い機能を備えている。

Passilly は、「活動時間とツールセットは、TA428 との関連の可能性を示しているが、この評価は信頼性が低い。可視性は限られているが、このグループにスポットを当てることで、他の研究者たちが情報を共有するきっかけになることを願っている」と結論付けている。

この Worok ですが、なんらかの経路を介して、CLRLoad もしくは PNGLoad というローダーがダウンロードされ、それらから、マルウェアが混入した PNG ファイルがダウンロードされる仕組みのようです。PNG ファイルを装うことで、AV などによる検知が難しくなるのでしょう。文中の地図を見ると、日本もターゲットに含まれていることが分かります。ご注意ください。

%d bloggers like this: