ESET Research mette in guardia contro Worok, gruppo di cyber spionaggio che ha messo sotto attacco aziende e istituzioni private e pubbliche. I ricercatori hanno scoperto questi attacchi hanno utilizzato strumenti non documentati contro aziende di alto profilo e governi locali soprattutto in Asia, ma anche in Medio Oriente e Africa. Secondo la telemetria di ESET, Worok è attivo almeno dal 2020 e continua a esserlo anche oggi. Tra gli obiettivi aziende dei settori delle telecomunicazioni, bancario, marittimo, energetico, militare, governativo e pubblico. In alcuni casi Worok ha utilizzato le famigerate vulnerabilità ProxyShell per ottenere l’accesso iniziale.
Predilige le organizzazioni governative
Thibaut Passilly, ricercatore ESET Riteniamo che gli operatori del malware siano a caccia di informazioni perché si concentrano su entità di alto profilo in Asia e Africa. Prendono di mira vari settori, sia privati che pubblici, ma con un’enfasispecifica sulle organizzazioni governative”.
Alla fine del 2020, Worok ha preso di mira enti e aziende di diversi Paesi. Tra queste in particolare una società di telecomunicazioni in Asia orientale; un istituto bancario in Asia centrale. E ancora: un’azienda del settore marittimo nel sud-est asiatico; un ente governativo in Medio Oriente; un’azienda privata in Sud Africa.
Gruppo di cyber spionaggio Worok
C’è stata un’interruzione significativa delle operazioni osservate da maggio 2021 a gennaio 2022, ma l’attività di Worok è ripartita nel febbraio 2022. L’attacco ha riguardato una società del settore energetico in Asia centrale e un ente del settore pubblico nel sud-est asiatico. Worok è un gruppo di cyberspionaggio che sviluppa strumenti propri e sfrutta quelli esistenti per compromettere i propri obiettivi. Il set di strumenti personalizzati del gruppo comprende i loader CLRLoad e PNGLoad e una backdoor, PowHeartBeat.
Come agisce Worok
CLRLoad è un loader di primo livello utilizzato nel 2021, ma sostituito nel 2022, nella maggior parte dei casi, da PowHeartBeat. PNGLoad è un programma di caricamento di secondo livello che utilizza la steganografia per ricostruire i payload dannosi nascosti nelle immagini PNG. PowHeartBeat è una backdoor completa scritta in PowerShell, offuscata utilizzando varie tecniche quali compressione, codifica e crittografia. Questa backdoor ha varie capacità, tra cui l’esecuzione di comandi/processi e la manipolazione di file. Ad esempio, può caricare e scaricare file da macchine compromesse; restituire al server di command and control informazioni sui file; cancellare, rinominare e spostare file.
