Worok در یک نگاه

محققان سایبری اخیرا حملات هدفمندی را علیه کشورهای آسیایی رصد کرده‌اند. طبق گزارش ESET ایران نیز هدف این حملات قرار گرفته است. این حملات توسط یک گروه ناشناخته با نام Worok انجام شده که بر اساس تله‌متری شرکت ESET حداقل از اواخر سال 2020 فعال بوده و فعالیت آن نیز هم اکنون ادامه دارد. این نام از یک mutex در بارگذار مورد استفاده‌ی این گروه (Wo0r0KGWhYGO) انتخاب شده است.

حملات Worok با هدف قرار دادن چندین شرکت در آسیا شروع شد:

• یک شرکت مخابراتی در شرق آسیا

• بانکی در آسیای مرکزی

• یک شرکت صنایع دریایی در آسیای جنوب شرقی

• یک نهاد دولتی در خاورمیانه 

• یک شرکت خصوصی در جنوب آفریقا

و یک وقفه تقریبا 9 ماهه از نیمه‌ی سال 2021 تا فوریه 2022 داشته است. اما حملات اخیر شناسایی شده این گروه عبارت است از:

• یک شرکت انرژی در آسیای مرکزی

• یک نهاد بخش عمومی در آسیای جنوب شرقی

دسترسی اولیه به برخی از اهداف با استفاده از اکسپلویت‌های Public-Facing آسیب‌پذیری‌هایی مانند ProxyShell رخ داده است. سپس جهت تداوم دسترسی از Web Shell مانند ReGeorg، به دست آوردن Credentials از Mimikatz، اجرای تاکتیک Discovery از NBTscan استفاده شده است. همچنین دو implant در قالب دو Execution Chain روی سیستم قربانی بارگذاری می‌شود: 

در زنجیره 1، بارگذار اول یک CLRLoad است که بارگذار دوم یعنی PNGLoad را بارگذاری کرده و سپس script پاورشل تعبیه شده در فایل PNG را اجرا می‌کند. 

در زنجیره 2، بارگذار اول یک Backdoor پاورشل می باشد (جایگزین CLRLoad شده است) که PNGLoad را بارگذاری کرده و سپس script پاورشل تعبیه شده در فایل PNG را اجرا می‌کند.   

CLRLoad

 CLRLoad به عنوان یک PE عمومی ویندوز در هر دو نسخه 32 و 64 بیتی ارائه شده است. این بارگذار نوشته شده به زبان ++ C بوده که ” PNGLoad “ را به عنوان یک فایل DLL از نوع CLR assembly بارگذاری می‌کند. این کد برای گمراه کردن قربانیان یا Incident Responder ها از فایلی که در یک دایرکتوری قانونی قرار دارد بارگذاری می‌شود. این مسیرها با XOR یک بایتی encode شده‌اند و کلید هر نمونه هم متفاوت می باشد. بارگذار برای جلوگیری از اجرای مجدد به دنبال یک mutex خاص در هر نمونه است. شایان ذکر است که یکی از این mutex ها Wo0r0KGWhYGO بوده و نام این گروه نیز از آن الهام گرفته شده است.

PowHeartBeat 

یک backdoor با امکانات کامل است که با پاورشل نوشته شده و با تکنیک‌های مختلفی مانند فشرده‌سازی، encoding و رمزنگاری به صورت لایه‌ای obfuscate شده است و اقداماتی مانند پیکربندی و handle کردن دستورات backdoor را انجام می‌دهد. ارتباط این backdoor با سرور C&C از طریق ICMP و HTTP صورت می‌گیرد.  

 PNGLoad

 PNGLoad مرحله دوم پیاده‌سازی payload توسط Worok بر روی سیستم Compromise شده است. این بارگذار از بایت‌های یک فایل PNG برای ایجاد یک payload استفاده می‌کند. یک فایل اجرایی NET. 64بیتی است که توسط NET Reactor. نیز obfuscate شده و در پوشش یک نرم‌افزار قانونی قرار می‌گیرد (به طور مثال DLL مرتبط با نرم‌افزار WinRAR). کد deobfuscate شده نشان می‌دهد که در ابتدا به دنبال فایل‌های png. بوده و هر فایل PNG را طی پردازشی از لحاظ محتوای استگانوگرافی تعبیه شده چک کرده و محتوای آن را در یک بافر می‌ریزد. نهایتا خروجی آن یک script پاورشل می باشد که بلافاصله اجرا می‌شود.