Los objetivos del espionaje cibernético de Worok son instituciones de alto rango en los sectores de telecomunicaciones, banca, energía, militar, gobierno y transporte marítimo. Actualmente, el grupo todavía tiene como objetivo Asia, África y Oriente Medio.
El grupo de hackers Worok usa ataques dirigidos para espiar instituciones de alto rango en Asia, África y Medio Oriente. Investigadores del fabricante de seguridad europeo ESET han logrado descubrir las actividades de los actores y analizar sus herramientas previamente desconocidas. El grupo ha estado activo desde 2020, pero ha estado de gira nuevamente desde febrero de 2022 después de una pausa más larga.
Workok utiliza desarrollos internos
El arsenal de los hackers consiste en herramientas nuevas, de desarrollo propio y ya conocidas. En algunos casos, el grupo ha utilizado las notorias vulnerabilidades de ProxyShell en Microsoft Exchange para obtener acceso inicial. Aquí se utilizó el backdoor PowHeartbeat de PowerShell, que está equipado con varias funciones. Esto permite la ejecución de comandos y procesos, así como la carga y descarga de archivos.
Workok busca información confidencial de sus objetivos. El grupo de ciberespionaje se enfoca en instituciones de alto nivel principalmente en Asia y África. Los piratas informáticos atacan empresas y organizaciones de diferentes sectores, pero el enfoque está claramente en las instituciones gubernamentales”, dice el investigador de ESET Thibaut Passilly, quien descubrió Worok. "Con nuestro análisis, queremos sentar las bases para que otros investigadores exploren más a fondo las actividades del grupo y nos den una visión más profunda".
Los objetivos del grupo de espionaje
A fines de 2020, Worok ya estaba apuntando a gobiernos y empresas en varios países:
- Una empresa de telecomunicaciones en el este de Asia
- Un banco en Asia Central
- Una empresa de la industria marítima en el Sudeste Asiático
- Una agencia gubernamental en el Medio Oriente
- Una empresa privada en el sur de África
Desde mayo de 2021 hasta enero de 2022 hubo una interrupción más prolongada en las actividades observadas. En febrero de 2022, el grupo regresó y atacó:
- Una empresa de energía en Asia Central
- Una empresa del sector público en el sudeste asiático
¿Quién es Vorok?
El grupo de ciberespionaje Worok utiliza herramientas propietarias y existentes para comprometer sus objetivos. Estos incluyen dos cargadores, CLRLoad y PNGLoad, así como el backdoor PowHeartBeat. CRLLoad es un cargador que usa 2021 pero ha sido reemplazado por PowHeartBeat en la mayoría de los casos en 2022. PNGLoad utiliza la esteganografía para reconstruir payloads maliciosos ocultos en imágenes PNG.
Escrito en PowerShell, el backdoor PowHeartBeat tiene una amplia gama de funciones, incluida la ejecución de comandos/procesos y la manipulación de archivos. Oculta sus travesuras utilizando diversas técnicas, como la compresión, la codificación y el cifrado. Por ejemplo, PowHeartBeat puede cargar y descargar archivos en computadoras comprometidas, devolver información de archivos como la ruta, la duración, el tiempo de creación, los tiempos de acceso y el contenido al servidor de comando y control, y eliminar, cambiar el nombre y mover archivos.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.