Worok : un nouveau groupe de cyberespionnage qui cible des entreprises et des gouvernements
Les chercheurs d’ESET ont récemment découvert des attaques ciblées utilisant des outils non documentés contre différentes grandes entreprises et des gouvernements, principalement en Asie, mais également au Moyen-Orient et en Afrique. Ces attaques ont été menées par un groupe de cyberespionnage jusqu’alors inconnu, qu’ESET a nommé Worok. Selon la télémétrie d’ESET, Worok est actif depuis au moins 2020 et continue de l’être aujourd’hui. Des entreprises des secteurs des télécommunications, de la banque, du transport maritime, de l’énergie, de l’armée et des administrations publiques étaient parmi les objectifs. Worok a utilisé les fameuses vulnérabilités ProxyShell pour obtenir un accès initial dans certains cas.
« Nous pensons que les opérateurs de ce malware recherchent des informations précises car ils se concentrent sur des entités très visibles en Asie et en Afrique, et ciblent différents secteurs, tant privés que publics, mais avec un concentration particulière sur les administrations » explique Thibaut Passilly, chercheur chez ESET qui a découvert Worok.
Fin 2020, Worok visait des gouvernements et des entreprises de plusieurs pays, en particulier :
- Une entreprise de télécommunications en Asie de l’Est
- Une banque en Asie centrale
- Une entreprise du secteur maritime en Asie du Sud-Est
- Une entité gouvernementale au Moyen-Orient
- Une entreprise privée en Afrique du Sud
Une interruption importante des opérations a été observée de mai 2021 à janvier 2022, puis l’activité de Worok a repris en février 2022, ciblant :
- Une entreprise d’énergie en Asie centrale
- Une entité du secteur public en Asie du Sud-Est
Worok est un groupe de cyberespionnage qui développe ses propres outils et exploite des outils existants pour compromettre ses cibles. La boîte à outils personnalisée du groupe comprend deux chargeurs, CLRLoad et PNGLoad, et une porte dérobée, PowHeartBeat.
CLRLoad est un chargeur de premier niveau qui a été utilisé en 2021, mais qui a été remplacé en 2022 dans la plupart des cas par PowHeartBeat. PNGLoad est un chargeur de seconde étape qui utilise la stéganographie pour réassembler les charges utiles malveillantes cachées dans des images PNG.
PowHeartBeat est une porte dérobée complète programmée en PowerShell et masquée à l’aide de différentes techniques de compression, d’encodage et de chiffrement. Elle possède des fonctionnalités d’exécution de commandes/de processus et de manipulation de fichiers. La porte dérobée est par exemple capable de transférer des fichiers vers et depuis des machines compromises, de renvoyer au serveur de commande et de contrôle des informations sur les fichiers telles que le chemin, la longueur, l’heure de création, les heures d’accès et le contenu, et de supprimer, renommer et déplacer des fichiers.
« Bien que notre visibilité soit limitée à ce stade, nous espérons que le fait de braquer les projecteurs sur ce groupe encouragera d’autres chercheurs à partager des informations » ajoute M. Passilly.
Source : WeLiveSecurity