Já ouviu falar no grupo Worok? Investigadores da ESET, empresa europeia de cibersegurança, descobriram uma série de ciberataques que usam ferramentas nunca antes documentadas contra várias empresas de alto perfil e governos locais.
Estes ataques foram lançados por um grupo de ciberespionagem previamente desconhecido a que a ESET chamou Worok.
Worok: ataques do grupo realizados em múltiplos países
De acordo com a telemetria da ESET, o grupo está ativo pelo menos desde 2020 e continua ativo até hoje. Entre os alvos encontram-se empresas de telecomunicações, bancárias, navais, energia, militares, governamentais e do setor público.
Em alguns casos os cibercriminosos usaram vulnerabilidades ProxyShell (uma série de vulnerabilidades em servidores Exchange que já foram corrigidas pela Microsoft, mas que continuam a ser exploradas atualmente) para obter acesso inicial aos sistemas.
No final de 2020, o grupo Worok estava a atacar governos e empresas em múltiplos países, incluindo:
- Uma empresa de telecomunicações na Ásia Oriental
- Um banco na Ásia Central
- Uma empresa da indústria naval no Sueste Asiático
- Uma entidade governamental no Médio Oriente
- Uma grande empresa privada no sul de África
Houve uma quebra significativa nas operações do grupo entre maio de 2021 e janeiro de 2022, mas a atividade retomou em fevereiro de 2022, afetando:
- Uma empresa de energia na Ásia Central
- Uma entidade do setor público no Sueste Asiático
Worok é um grupo de ciberespionagem que desenvolve as suas próprias ferramentas e tira partido de ferramentas existentes para comprometer os seus alvos. O conjunto de ferramentas do grupo inclui dois loaders, o CLRLoad e o PNGLoad, e uma backdoor, a PowHeartBeat.
O CLRLoad foi usado em 2021, mas em 2022 foi substituído, na maior parte dos casos, pela PowHeartBeat. Em ambos os anos, o PNGLoad foi usado para reconstruir cargas maliciosas escondidas em imagens PNG. Note-se que os loaders são componentes de software legítimos que carregam programas e bibliotecas, mas que neste caso foram usados para carregar malware.