國際資安大廠 ESET 發現名為 Worok 的黑客組織,約自今年 2 月開始,將中亞的能源公司,以及東南亞的公部門實體視為主要目標,研判是要竊取資訊,攻擊範圍橫跨亞洲與非洲。該黑客組織早在 2020 年底,就瞄準了多個國家的政府和公司,但發現 2021 年 5 月到 2022 年 1 月,則消聲匿跡了一段時間,直到 2022 年 2 月又捲土重來。
被鎖定攻擊的範圍
攻擊手法為黑客利用 ProxyShell 漏洞攻擊受害企業的 Exchange 伺服器,並植入 Web Shell 來持續在網絡環境進行後續行動,接著,黑客利用 Mimikatz、EarthWorm、ReGeorg、NBTscan 進行偵察,然後部署 PowerShell 後門程式 PowHeartBeat,以及惡意程式載入器 PNGLoad。
