Os alvos da espionagem cibernética da Worok são instituições de alto escalão nos setores de telecomunicações, bancos, energia, militar, governamental e marítimo. Atualmente, o grupo ainda tem como alvo a Ásia, África e Oriente Médio.
O grupo de hackers Worok usa ataques direcionados para espionar instituições de alto escalão na Ásia, África e Oriente Médio. Pesquisadores do fabricante europeu de segurança ESET conseguiram descobrir as atividades dos atores e analisar suas ferramentas anteriormente desconhecidas. O grupo está ativo desde 2020, mas está na estrada novamente desde fevereiro de 2022, após uma pausa mais longa.
A Workok usa desenvolvimentos internos
O arsenal dos hackers consiste em ferramentas novas, autodesenvolvidas e já conhecidas. Em alguns casos, o grupo usou as notórias vulnerabilidades do ProxyShell no Microsoft Exchange para obter acesso inicial. O backdoor PowHeartbeat do PowerShell, que é equipado com várias funções, foi usado aqui. Isso permite a execução de comandos e processos, bem como o upload e download de arquivos.
"Workok está atrás de informações confidenciais de seus alvos. O grupo de espionagem cibernética concentra-se em instituições de alto nível principalmente na Ásia e na África. Os hackers atacam empresas e organizações de diversos setores, mas o foco está claramente nas instituições governamentais”, diz o pesquisador da ESET Thibaut Passilly, que descobriu o Worok. "Com nossa análise, queremos lançar as bases para que outros pesquisadores explorem ainda mais as atividades do grupo e nos forneçam uma visão mais profunda".
Os objetivos do grupo de espionagem
No final de 2020, a Worok já visava governos e empresas em vários países:
- Uma empresa de telecomunicações no leste da Ásia
- Um banco na Ásia Central
- Uma empresa do setor marítimo no Sudeste Asiático
- Uma agência governamental no Oriente Médio
- Uma empresa privada na África Austral
De maio de 2021 a janeiro de 2022 houve uma interrupção mais longa nas atividades observadas. Em fevereiro de 2022, o grupo voltou e atacou:
- Uma empresa de energia na Ásia Central
- Uma empresa do setor público no Sudeste Asiático
Quem é Vorok?
O grupo de espionagem cibernética Worok usa ferramentas proprietárias e existentes para comprometer seus alvos. Isso inclui dois carregadores, CLRLoad e PNGLoad, bem como o backdoor PowHeartBeat. CLRLoad é um carregador que usa 2021, mas foi substituído por PowHeartBeat na maioria dos casos em 2022. PNGLoad usa esteganografia para reconstruir cargas maliciosas escondidas em imagens PNG.
Escrito em PowerShell, o backdoor PowHeartBeat possui uma ampla gama de funções, incluindo execução de comandos/processos e manipulação de arquivos. Ele disfarça seu mal usando várias técnicas, como compressão, codificação e criptografia. Por exemplo, o PowHeartBeat é capaz de fazer upload e download de arquivos para computadores comprometidos, retornar informações de arquivo como caminho, comprimento, hora de criação, horas de acesso e conteúdo para o servidor de comando e controle e excluir, renomear e mover arquivos.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.