Las empresas de alto perfil y los gobiernos locales ubicados principalmente en Asia son objeto de ataques dirigidos por un grupo de espionaje previamente indocumentado denominado trabajar<\/strong> que ha estado activo desde finales de 2020.<\/p>\n “El conjunto de herramientas de Worok incluye un cargador C++ CLRLoad, un backdoor PowHeartBeat de PowerShell y un cargador C# PNGLoad que usa esteganograf\u00eda para extraer cargas maliciosas ocultas de archivos PNG”, dijo Thibaut Passilly, investigador de ESET. dijo<\/a> en un nuevo informe publicado hoy.<\/p>\n Se dice que Worok comparte superposiciones en herramientas e intereses con otro colectivo adversario rastreado como TA428, con el grupo vinculado a ataques contra entidades que abarcan los sectores energ\u00e9tico, financiero, mar\u00edtimo y de telecomunicaciones en Asia, as\u00ed como una agencia gubernamental en el Medio Oriente y un empresa privada en el sur de \u00c1frica.<\/p>\n Las actividades maliciosas realizadas por el grupo experimentaron una interrupci\u00f3n notable desde mayo de 2021 hasta enero de 2022, antes de reanudarse el pr\u00f3ximo mes. La firma eslovaca de ciberseguridad evalu\u00f3 los objetivos del grupo para estar alineados con el robo de informaci\u00f3n.<\/p>\n El punto de apoyo inicial para apuntar a las redes hasta 2021 y 2022 implic\u00f3 el uso de exploits ProxyShell en instancias seleccionadas, seguido de la implementaci\u00f3n de puertas traseras personalizadas adicionales para acceso consolidado. A\u00fan se desconocen otras rutas iniciales de compromiso.<\/p>\n Entre las herramientas en el arsenal de malware de Worok se encuentra un cargador de primera etapa llamado CLRLoad, que es reemplazado por un cargador esteganogr\u00e1fico basado en .NET con nombre en c\u00f3digo PNGLoad que es capaz de ejecutar un script PowerShell desconocido incrustado en un archivo de imagen PNG.<\/p>\n Desde entonces, las cadenas de infecci\u00f3n en 2022 abandonaron CLRLoad en favor de un implante PowerShell con todas las funciones conocido como PowHeartBeat que posteriormente se usa para iniciar PNGLoad, adem\u00e1s de comunicarse con un servidor remoto a trav\u00e9s de HTTP o ICMP<\/a> para ejecutar comandos arbitrarios, enviar y recibir archivos y realizar operaciones relacionadas con archivos.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Espionaje](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1662507549_154_Los-piratas-informaticos-de-Worok-apuntan-a-empresas-y-gobiernos.jpg\" "\\"Espionaje")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n