Les cibles du cyberespionnage Worok sont des institutions de haut rang dans les secteurs des télécommunications, de la banque, de l'énergie, de l'armée, du gouvernement et de la navigation. Le groupe vise toujours l'Asie, l'Afrique et le Moyen-Orient.
Le groupe de hackers Worok utilise des attaques ciblées pour espionner des institutions de haut rang en Asie, en Afrique et au Moyen-Orient. Les chercheurs du fabricant européen de sécurité ESET ont réussi à découvrir les activités des acteurs et à analyser leurs outils jusque-là inconnus. Le groupe est actif depuis 2020, mais a repris la route depuis février 2022 après une pause plus longue.
Workok utilise des développements internes
L'arsenal des pirates consiste en de nouveaux outils développés par eux-mêmes et déjà connus. Dans certains cas, le groupe a utilisé les vulnérabilités notoires de ProxyShell dans Microsoft Exchange pour obtenir un accès initial. La porte dérobée PowerShell PowHeartbeat, qui est équipée de diverses fonctions, a été utilisée ici. Cela permet l'exécution de commandes et de processus ainsi que le chargement et le téléchargement de fichiers.
"Workok recherche des informations sensibles sur leurs cibles. Le groupe de cyberespionnage se concentre sur les institutions de haut niveau principalement en Asie et en Afrique. Les pirates attaquent des entreprises et des organisations de différents secteurs, mais l'accent est clairement mis sur les institutions gouvernementales », explique le chercheur d'ESET, Thibaut Passilly, qui a découvert Worok. "Avec notre analyse, nous voulons jeter les bases pour que d'autres chercheurs explorent davantage les activités du groupe et nous donnent un aperçu plus approfondi."
Les objectifs du groupe d'espionnage
Fin 2020, Worok ciblait déjà les gouvernements et les entreprises de plusieurs pays :
- Une entreprise de télécommunications en Asie de l'Est
- Une banque en Asie centrale
- Une entreprise de l'industrie maritime en Asie du Sud-Est
- Une agence gouvernementale au Moyen-Orient
- Une entreprise privée en Afrique australe
De mai 2021 à janvier 2022, il y a eu une interruption plus longue des activités observées. En février 2022, le groupe est revenu et a attaqué :
- Une entreprise énergétique en Asie centrale
- Une entreprise du secteur public en Asie du Sud-Est
Qui est Vorok ?
Le groupe de cyberespionnage Worok utilise des outils propriétaires et existants pour compromettre ses cibles. Ceux-ci incluent deux chargeurs, CLRLoad et PNGLoad, ainsi que la porte dérobée PowHeartBeat. CRLLoad est un chargeur qui utilise 2021 mais a été remplacé par PowHeartBeat dans la plupart des cas en 2022. PNGLoad utilise la stéganographie pour reconstruire les charges utiles malveillantes cachées dans les images PNG.
Écrit en PowerShell, le backdoor PowHeartBeat a un large éventail de fonctions, y compris l'exécution de commandes/processus et la manipulation de fichiers. Il déguise ses méfaits en utilisant diverses techniques telles que la compression, le codage et le cryptage. Par exemple, PowHeartBeat est capable de télécharger et de télécharger des fichiers sur des ordinateurs compromis, de renvoyer des informations sur les fichiers telles que le chemin, la longueur, l'heure de création, les heures d'accès et le contenu au serveur de commande et de contrôle, et de supprimer, renommer et déplacer des fichiers.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.