Les chercheurs de l’éditeur de cybersécurité ESET annoncent avoir découvert un groupe de cyberespionnage jusqu’alors inconnu qu’ils ont nommé “Worok“.
Le groupe , selon ESET, s’attaque aux grandes entreprises dans les secteurs des télécommunications, de la banque, des transports maritimes, de l’énergie, de l’armée et du gouvernement, situés principalement en Asie, mais également au Moyen-Orient et en Afrique.
Worok développe ses propres outils et exploite des outils existants pour compromettre ses cibles.
La boîte à outils personnalisée du groupe comprend deux chargeurs, CLRLoad et PNGLoad, et une porte dérobée, PowHeartBeat.
-CLRLoad est un chargeur de premier niveau qui a été utilisé en 2021, mais qui a été remplacé en 2022 dans la plupart des cas par PowHeartBeat.
-PNGLoad est un chargeur de seconde étape qui utilise la stéganographie pour réassembler les charges utiles malveillantes cachées dans des images PNG.
-PowHeartBeat est une porte dérobée complète programmée en PowerShell et masquée à l’aide de différentes techniques de compression, d’encodage et de chiffrement. Elle possède des fonctionnalités d’exécution de commandes/de processus et de manipulation de fichiers. La porte dérobée est par exemple capable de transférer des fichiers vers et depuis des machines compromises, de renvoyer au serveur de commande et de contrôle des informations sur les fichiers telles que le chemin, la longueur, l’heure de création, les heures d’accès et le contenu, et de supprimer, renommer et déplacer des fichiers.
Joel PASCAL