Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont récemment découvert des attaques ciblées utilisant des outils non documentés contre différentes grandes entreprises et des gouvernements, principalement en Asie, mais également au Moyen-Orient et en Afrique. Ces attaques ont été menées par un groupe de cyberespionnage jusqu’alors inconnu, qu’ESET a nommé Worok. Selon la télémétrie d’ESET, Worok est actif depuis au moins 2020 et continue de l’être aujourd’hui. Des entreprises des secteurs des télécommunications, de la banque, du transport maritime, de l’énergie, de l’armée et des administrations publiques étaient parmi les objectifs. Worok a utilisé les fameuses vulnérabilités ProxyShell pour obtenir un accès initial dans certains cas.
Worok est un groupe de cyberespionnage qui développe ses propres outils et exploite des outils existants pour compromettre ses cibles. La boîte à outils personnalisée du groupe comprend deux chargeurs, CLRLoad et PNGLoad, et une porte dérobée, PowHeartBeat.
CLRLoad est un chargeur de premier niveau qui a été utilisé en 2021, mais qui a été remplacé en 2022 dans la plupart des cas par PowHeartBeat. PNGLoad est un chargeur de seconde étape qui utilise la stéganographie pour réassembler les charges utiles malveillantes cachées dans des images PNG.
PowHeartBeat est une porte dérobée complète programmée en PowerShell et masquée à l’aide de différentes techniques de compression, d’encodage et de chiffrement. Elle possède des fonctionnalités d’exécution de commandes/de processus et de manipulation de fichiers. La porte dérobée est par exemple capable de transférer des fichiers vers et depuis des machines compromises, de renvoyer au serveur de commande et de contrôle des informations sur les fichiers telles que le chemin, la longueur, l’heure de création, les heures d’accès et le contenu, et de supprimer, renommer et déplacer des fichiers.
Communiqué
