Türkiye’de Bankacılık Sektörüne Odaklı Yeni Bir Siber Casusluk Grubu Ortaya Çıkarıldı 

Worok telekomünikasyon, bankacılık, denizcilik, enerji, askeriye, devlet kurumları ve kamu sektöründen çeşitli yüksek profilli şirketlere saldırılar düzenliyor. Hedefleri Asya başta olmak üzere, Orta Doğu ve Afrika’da bulunuyor. Grubun Türkiye’de bankacılık sektörünü hedef aldığı kaydediliyor.

Worok, hedeflerine ulaşmak için kendi araçlarını geliştirmenin yanı sıra mevcut araçlardan da faydalanıyor. Grubun özel araç setinde CLRLoad ve PNGLoad adlı iki yükleyici ve PowHeartBeat adlı bir arka kapı bulunuyor. CLRLoad, 2021’de kullanılan, ancak 2022’de çoğu durumda PowHeartBeat ile değiştirilen birinci aşama bir yükleyici. PNGLoad da PNG görüntülerinde gizlenmiş kötü amaçlı yükleri yeniden oluşturmak için steganografi kullanan ikinci aşamalı bir yükleyici.

PowHeartBeat ise PowerShell’de yazılmış, sıkıştırma, kodlama ve şifreleme gibi çeşitli teknikler kullanılarak gizlenmiş tam özellikli bir arka kapı. Bu arka kapı, komut/süreç yürütme ve dosya manipülasyonu dahil olmak üzere çeşitli kabiliyetlere sahip.

Grubun bazı durumlarda ilk erişimi sağlamak için kötü şöhretli ProxyShell güvenlik açıklarını kullandığı da biliniyor. Kullanmakta oldukları PowerShell arka kapısı PowHeartBeat’in komut/süreç yürütme, dosya yükleme ve indirme dahil çeşitli kabiliyetleri mevcut.

Worok’u keşfeden güvenlik araştırmacısı Thibaut Passilly konuyla ilgili olarak şu açıklamayı yaptı: “Devlet kuruluşları başta olmak üzere, özel ve kamusal alanda çeşitli sektörleri hedef alan kötü amaçlı yazılım operatörleri, Asya ve Afrika’daki yüksek profilli kuruluşlara odaklanmış durumda, bu nedenle kurbanlara ait bilgilerin peşinde olduklarını düşünüyoruz.”