• Les chercheurs d’ESET ont découvert un groupe de cyberespionnage jusqu’alors inconnu qu’ils ont nommé Worok.
• Worok s’est attaqué à différentes grandes entreprises dans les secteurs des télécommunications, de la banque, des transports maritimes, de l’énergie, de l’armée et du gouvernement. Les cibles sont situées principalement en Asie, mais également au Moyen-Orient et en Afrique.
• Worok développe ses propres outils et exploite des outils existants pour compromettre ses victimes. Le groupe a utilisé les fameuses vulnérabilités ProxyShell pour obtenir un accès initial dans certains cas. Sa porte dérobée PowerShell PowHeartBeat possède des fonctionnalités d’exécution de commandes/de processus, et de téléchargement/téléversement de fichiers.
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont récemment découvert des attaques ciblées utilisant des outils non documentés contre différentes grandes entreprises et des gouvernements, principalement en Asie, mais également au Moyen-Orient et en Afrique. Ces attaques ont été menées par un groupe de cyberespionnage jusqu’alors inconnu, qu’ESET a nommé Worok. Selon la télémétrie d’ESET, Worok est actif depuis au moins 2020 et continue de l’être aujourd’hui. Des entreprises des secteurs des télécommunications, de la banque, du transport maritime, de l’énergie, de l’armée et des administrations publiques étaient parmi les objectifs. Worok a utilisé les fameuses vulnérabilités ProxyShell pour obtenir un accès initial dans certains cas.
« Nous pensons que les opérateurs de ce malware recherchent des informations précises car ils se concentrent sur des entités très visibles en Asie et en Afrique, et ciblent différents secteurs, tant privés que publics, mais avec un concentration particulière sur les administrations, » explique Thibaut Passilly, chercheur chez ESET qui a découvert Worok.
Fin 2020, Worok visait des gouvernements et des entreprises de plusieurs pays, en particulier :
• Une entreprise de télécommunications en Asie de l’Est
• Une banque en Asie centrale
• Une entreprise du secteur maritime en Asie du Sud-Est
• Une entité gouvernementale au Moyen-Orient
• Une entreprise privée en Afrique du Sud
Une interruption importante des opérations a été observée de mai 2021 à janvier 2022, puis l’activité de Worok a repris en février 2022, ciblant :
• Une entreprise d’énergie en Asie centrale
• Une entité du secteur public en Asie du Sud-Est
Worok est un groupe de cyberespionnage qui développe ses propres outils et exploite des outils existants pour compromettre ses cibles. La boîte à outils personnalisée du groupe comprend deux chargeurs, CLRLoad et PNGLoad, et une porte dérobée, PowHeartBeat.
CLRLoad est un chargeur de premier niveau qui a été utilisé en 2021, mais qui a été remplacé en 2022 dans la plupart des cas par PowHeartBeat. PNGLoad est un chargeur de seconde étape qui utilise la stéganographie pour réassembler les charges utiles malveillantes cachées dans des images PNG.
PowHeartBeat est une porte dérobée complète programmée en PowerShell et masquée à l’aide de différentes techniques de compression, d’encodage et de chiffrement. Elle possède des fonctionnalités d’exécution de commandes/de processus et de manipulation de fichiers. La porte dérobée est par exemple capable de transférer des fichiers vers et depuis des machines compromises, de renvoyer au serveur de commande et de contrôle des informations sur les fichiers telles que le chemin, la longueur, l’heure de création, les heures d’accès et le contenu, et de supprimer, renommer et déplacer des fichiers.
« Bien que notre visibilité soit limitée à ce stade, nous espérons que le fait de braquer les projecteurs sur ce groupe encouragera d’autres chercheurs à partager des informations, » ajoute M. Passilly.
Pour plus d’informations techniques sur Worok, consultez l’article « Worok: the big picture » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Carte des régions et des secteurs ciblés
Darina SANTAMARIA - +33 01 55 89 08 88 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.