國際資安大廠ESET發現名為Worok的駭客組織,約自今年2月開始,將中亞的能源公司,以及東南亞的公部門實體視為主要目標,研判是要竊取資訊,攻擊範圍橫跨亞洲與非洲。該駭客組織早在2020年底,就瞄準了多個國家的政府和公司,但發現2021年5月到2022年1月,則消聲匿跡了一段時間,直到2022年2 月又捲土重來。
攻擊手法為駭客利用ProxyShell漏洞攻擊受害企業的Exchange伺服器,並植入Web Shell來持續在網路環境進行後續行動,接著,駭客利用Mimikatz、EarthWorm、ReGeorg、NBTscan進行偵察,然後部署PowerShell後門程式PowHeartBeat,以及惡意程式載入器PNGLoad。
#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://version-2.com.tw/
原文出處:https://www.welivesecurity.com/2022/09/06/worok-big-picture/