Gli obiettivi dello spionaggio informatico di Worok sono istituzioni di alto rango nei settori delle telecomunicazioni, bancario, energetico, militare, governativo e marittimo. Attualmente il gruppo sta ancora prendendo di mira l'Asia, l'Africa e il Medio Oriente.
Il gruppo di hacker Worok utilizza attacchi mirati per spiare istituzioni di alto rango in Asia, Africa e Medio Oriente. I ricercatori del produttore europeo di sicurezza ESET sono riusciti a scoprire le attività degli attori e ad analizzare i loro strumenti precedentemente sconosciuti. Il gruppo è attivo dal 2020, ma è di nuovo in viaggio da febbraio 2022 dopo una pausa più lunga.
Workok utilizza sviluppi interni
L'arsenale degli hacker è costituito da strumenti nuovi, auto-sviluppati e già conosciuti. In alcuni casi, il gruppo ha utilizzato le famigerate vulnerabilità di ProxyShell in Microsoft Exchange per ottenere l'accesso iniziale. Qui è stata utilizzata la backdoor di PowerShell PowHeartbeat, dotata di varie funzioni. Ciò consente l'esecuzione di comandi e processi, nonché il caricamento e il download di file.
"Worok è alla ricerca di informazioni sensibili dai loro obiettivi. Il gruppo di spionaggio informatico si concentra su istituzioni di alto livello principalmente in Asia e Africa. Gli hacker attaccano aziende e organizzazioni di diversi settori, ma l'attenzione è chiaramente rivolta alle istituzioni governative", afferma il ricercatore ESET Thibaut Passilly, che ha scoperto Worok. "Con la nostra analisi, vogliamo gettare le basi affinché altri ricercatori possano esplorare ulteriormente le attività del gruppo e darci una visione più profonda".
Gli obiettivi del gruppo di spionaggio
Entro la fine del 2020, Worok si rivolgeva già a governi e aziende in diversi paesi:
- Una società di telecomunicazioni nell'Asia orientale
- Una banca in Asia centrale
- Una società nel settore marittimo nel sud-est asiatico
- Un'agenzia governativa in Medio Oriente
- Una società privata in Sud Africa
Da maggio 2021 a gennaio 2022 si è verificata una più lunga interruzione delle attività osservate. Nel febbraio 2022, il gruppo è tornato e ha attaccato:
- Una società energetica in Asia centrale
- Una società del settore pubblico nel sud-est asiatico
Chi è Vorok?
Il gruppo di spionaggio informatico Worok utilizza strumenti proprietari ed esistenti per compromettere i propri obiettivi. Questi includono due caricatori, CLRLoad e PNGLoad, oltre alla backdoor PowHeartBeat. CRLLoad è un caricatore che utilizza 2021 ma è stato sostituito da PowHeartBeat nella maggior parte dei casi nel 2022. PNGLoad utilizza la steganografia per ricostruire i payload dannosi nascosti nelle immagini PNG.
Scritta in PowerShell, la backdoor PowHeartBeat ha una vasta gamma di funzioni, tra cui l'esecuzione di comandi/processi e la manipolazione dei file. Nasconde la sua malizia utilizzando varie tecniche come la compressione, la codifica e la crittografia. Ad esempio, PowHeartBeat è in grado di caricare e scaricare file su computer compromessi, restituire informazioni sui file come percorso, lunghezza, ora di creazione, tempi di accesso e contenuto al server di comando e controllo ed eliminare, rinominare e spostare file.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.