Worok: Grupo de ciberespionagem que ataca empresas e governos

28 Set 2022 · Internet 1 Comentário

Já ouviu falar no grupo Worok? Investigadores da ESET, empresa europeia de cibersegurança, descobriram uma série de ciberataques que usam ferramentas nunca antes documentadas contra várias empresas de alto perfil e governos locais.

Estes ataques foram lançados por um grupo de ciberespionagem previamente desconhecido a que a ESET chamou Worok.

Worok: ataques do grupo realizados em múltiplos países

De acordo com a telemetria da ESET, o grupo está ativo pelo menos desde 2020 e continua ativo até hoje. Entre os alvos encontram-se empresas de telecomunicações, bancárias, navais, energia, militares, governamentais e do setor público.

Em alguns casos os cibercriminosos usaram vulnerabilidades ProxyShell (uma série de vulnerabilidades em servidores Exchange que já foram corrigidas pela Microsoft, mas que continuam a ser exploradas atualmente) para obter acesso inicial aos sistemas.

No final de 2020, o grupo Worok estava a atacar governos e empresas em múltiplos países, incluindo:

Uma empresa de telecomunicações na Ásia Oriental
Um banco na Ásia Central
Uma empresa da indústria naval no Sueste Asiático
Uma entidade governamental no Médio Oriente
Uma grande empresa privada no sul de África

Houve uma quebra significativa nas operações do grupo entre maio de 2021 e janeiro de 2022, mas a atividade retomou em fevereiro de 2022, afetando:

Uma empresa de energia na Ásia Central
Uma entidade do setor público no Sueste Asiático

Worok é um grupo de ciberespionagem que desenvolve as suas próprias ferramentas e tira partido de ferramentas existentes para comprometer os seus alvos. O conjunto de ferramentas do grupo inclui dois loaders, o CLRLoad e o PNGLoad, e uma backdoor, a PowHeartBeat.

O CLRLoad foi usado em 2021, mas em 2022 foi substituído, na maior parte dos casos, pela PowHeartBeat. Em ambos os anos, o PNGLoad foi usado para reconstruir cargas maliciosas escondidas em imagens PNG. Note-se que os loaders são componentes de software legítimos que carregam programas e bibliotecas, mas que neste caso foram usados para carregar malware.

Este artigo tem mais de um ano

Comentários1

Vitorino says:

28 de Setembro de 2022 às 08:27

Então não conheço o grupo work?!
Até têm uma placa á entrada dos seu Open space que diz qualquer coisa como “o trabalho liberta”.

Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.