ESET Research a découvert Worok

Les chercheurs d’ESET, éditeur Européen de solutions de sécurité, ont récemment découvert des attaques ciblées utilisant des outils non documentés contre différentes grandes entreprises et des gouvernements, principalement en Asie, mais également au Moyen-Orient et en Afrique. Ces attaques ont été menées par un groupe de cyberespionnage jusqu’alors inconnu, qu’ESET a nommé Worok. Selon la télémétrie d’ESET, Worok est actif depuis au moins 2020 et continue de l’être aujourd’hui. Des entreprises des secteurs des télécommunications, de la banque, du transport maritime, de l’énergie, de l’armée et des administrations publiques étaient parmi les objectifs. Worok a utilisé les fameuses vulnérabilités ProxyShell pour obtenir un accès initial dans certains cas.

« Nous pensons que les opérateurs de ce malware recherchent des informations précises car ils se concentrent sur des entités très visibles en Asie et en Afrique, et ciblent différents secteurs, tant privés que publics, mais avec un concentration particulière sur les administrations, » explique Thibaut Passilly, chercheur chez ESET qui a découvert Worok.

Fin 2020, Worok visait des gouvernements et des entreprises de plusieurs pays, en particulier :

• Une entreprise de télécommunications en Asie de l’Est
• Une banque en Asie centrale
• Une entreprise du secteur maritime en Asie du Sud-Est
• Une entité gouvernementale au Moyen-Orient
• Une entreprise privée en Afrique du Sud

Une interruption importante des opérations a été observée de mai 2021 à janvier 2022, puis l’activité de Worok a repris en février 2022, ciblant :

• Une entreprise d’énergie en Asie centrale
• Une entité du secteur public en Asie du Sud-Est

Worok est un groupe de cyberespionnage qui développe ses propres outils et exploite des outils existants pour compromettre ses cibles. La boîte à outils personnalisée du groupe comprend deux chargeurs, CLRLoad et PNGLoad, et une porte dérobée, PowHeartBeat.

CLRLoad est un chargeur de premier niveau qui a été utilisé en 2021, mais qui a été remplacé en 2022 dans la plupart des cas par PowHeartBeat. PNGLoad est un chargeur de seconde étape qui utilise la stéganographie pour réassembler les charges utiles malveillantes cachées dans des images PNG.

PowHeartBeat est une porte dérobée complète programmée en PowerShell et masquée à l’aide de différentes techniques de compression, d’encodage et de chiffrement. Elle possède des fonctionnalités d’exécution de commandes/de processus et de manipulation de fichiers. La porte dérobée est par exemple capable de transférer des fichiers vers et depuis des machines compromises, de renvoyer au serveur de commande et de contrôle des informations sur les fichiers telles que le chemin, la longueur, l’heure de création, les heures d’accès et le contenu, et de supprimer, renommer et déplacer des fichiers.

« Bien que notre visibilité soit limitée à ce stade, nous espérons que le fait de braquer les projecteurs sur ce groupe encouragera d’autres chercheurs à partager des informations, » ajoute M. Passilly.

À propos d’ESET :

Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes.

*Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.