Las empresas de alto perfil y los gobiernos locales ubicados principalmente en Asia son objeto de ataques dirigidos por un grupo de espionaje previamente indocumentado denominado trabajar que ha estado activo desde finales de 2020.
«El conjunto de herramientas de Worok incluye un cargador C++ CLRLoad, un backdoor PowHeartBeat de PowerShell y un cargador C# PNGLoad que usa esteganografía para extraer cargas maliciosas ocultas de archivos PNG», dijo Thibaut Passilly, investigador de ESET. dijo en un nuevo informe publicado hoy.
Se dice que Worok comparte superposiciones en herramientas e intereses con otro colectivo adversario rastreado como TA428, con el grupo vinculado a ataques contra entidades que abarcan los sectores energético, financiero, marítimo y de telecomunicaciones en Asia, así como una agencia gubernamental en el Medio Oriente y un empresa privada en el sur de África.
Las actividades maliciosas realizadas por el grupo experimentaron una interrupción notable desde mayo de 2021 hasta enero de 2022, antes de reanudarse el próximo mes. La firma eslovaca de ciberseguridad evaluó los objetivos del grupo para estar alineados con el robo de información.
El punto de apoyo inicial para apuntar a las redes hasta 2021 y 2022 implicó el uso de exploits ProxyShell en instancias seleccionadas, seguido de la implementación de puertas traseras personalizadas adicionales para acceso consolidado. Aún se desconocen otras rutas iniciales de compromiso.
Entre las herramientas en el arsenal de malware de Worok se encuentra un cargador de primera etapa llamado CLRLoad, que es reemplazado por un cargador esteganográfico basado en .NET con nombre en código PNGLoad que es capaz de ejecutar un script PowerShell desconocido incrustado en un archivo de imagen PNG.
Desde entonces, las cadenas de infección en 2022 abandonaron CLRLoad en favor de un implante PowerShell con todas las funciones conocido como PowHeartBeat que posteriormente se usa para iniciar PNGLoad, además de comunicarse con un servidor remoto a través de HTTP o ICMP para ejecutar comandos arbitrarios, enviar y recibir archivos y realizar operaciones relacionadas con archivos.
ESET dijo que no pudo recuperar ninguna de las cargas útiles PNG de la etapa final, aunque se sospecha que el malware podría ocultarse en imágenes PNG válidas de aspecto inocuo y, por lo tanto, «ocultarse a simple vista» sin llamar la atención.
«Worok es un grupo de espionaje cibernético que desarrolla sus propias herramientas, además de aprovechar las herramientas existentes, para comprometer sus objetivos», dijo Passilly.
«Robar información de sus víctimas es lo que creemos que buscan los operadores porque se enfocan en entidades de alto perfil en Asia y África, apuntando a varios sectores, tanto privados como públicos, pero con un énfasis específico en entidades gubernamentales».