{"id":351984,"date":"2022-09-06T20:19:25","date_gmt":"2022-09-06T22:19:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-hackers-de-worok-ciblent-des-entreprises-et-des-gouvernements-asiatiques-de-premier-plan\/"},"modified":"2022-09-06T20:19:26","modified_gmt":"2022-09-06T22:19:26","slug":"les-hackers-de-worok-ciblent-des-entreprises-et-des-gouvernements-asiatiques-de-premier-plan","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-hackers-de-worok-ciblent-des-entreprises-et-des-gouvernements-asiatiques-de-premier-plan\/","title":{"rendered":"Les hackers de Worok ciblent des entreprises et des gouvernements asiatiques de premier plan"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Des entreprises et des gouvernements locaux de premier plan situ\u00e9s principalement en Asie font l&#8217;objet d&#8217;attaques cibl\u00e9es par un groupe d&#8217;espionnage auparavant sans papiers surnomm\u00e9 <strong>Travail<\/strong> qui est actif depuis fin 2020.<\/p>\n<p>&#8220;L&#8217;ensemble d&#8217;outils de Workok comprend un chargeur C++ CLRLoad, une porte d\u00e9rob\u00e9e PowerShell PowHeartBeat et un chargeur C# PNGLoad qui utilise la st\u00e9ganographie pour extraire les charges utiles malveillantes cach\u00e9es des fichiers PNG&#8221;, a d\u00e9clar\u00e9 Thibaut Passilly, chercheur chez ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/09\/06\/worok-big-picture\/\" target=\"_blank\">a dit<\/a> dans un nouveau rapport publi\u00e9 aujourd&#8217;hui.<\/p>\n<p>On dit que Worok partage des chevauchements d&#8217;outils et d&#8217;int\u00e9r\u00eats avec un autre collectif contradictoire suivi sous le nom de TA428, le groupe \u00e9tant li\u00e9 \u00e0 des attaques contre des entit\u00e9s couvrant les secteurs de l&#8217;\u00e9nergie, de la finance, de la mer et des t\u00e9l\u00e9communications en Asie ainsi qu&#8217;une agence gouvernementale au Moyen-Orient et un entreprise priv\u00e9e en Afrique australe.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Les activit\u00e9s malveillantes entreprises par le groupe ont connu une pause notable de mai 2021 \u00e0 janvier 2022, avant de reprendre le mois suivant.  La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 a estim\u00e9 que les objectifs du groupe \u00e9taient align\u00e9s sur le vol d&#8217;informations.<\/p>\n<p>L&#8217;implantation initiale sur les r\u00e9seaux cibles jusqu&#8217;en 2021 et 2022 impliquait l&#8217;utilisation d&#8217;exploits ProxyShell dans certaines instances, suivie du d\u00e9ploiement de portes d\u00e9rob\u00e9es personnalis\u00e9es suppl\u00e9mentaires pour un acc\u00e8s enracin\u00e9.  D&#8217;autres voies de compromis initiales sont encore inconnues.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Cyberespionnage\" border=\"0\" data-original-height=\"366\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1662502765_448_Les-hackers-de-Worok-ciblent-des-entreprises-et-des-gouvernements.jpg\" title=\"Cyberespionnage\" \/><\/div>\n<p>Parmi les outils de l&#8217;arsenal de logiciels malveillants de Worok se trouve un chargeur de premi\u00e8re \u00e9tape appel\u00e9 CLRLoad, qui est remplac\u00e9 par un chargeur st\u00e9ganographique bas\u00e9 sur .NET nomm\u00e9 PNGLoad, capable d&#8217;ex\u00e9cuter un script PowerShell inconnu int\u00e9gr\u00e9 dans un fichier image PNG.<\/p>\n<p>Les cha\u00eenes d&#8217;infection en 2022 ont depuis abandonn\u00e9 CLRLoad au profit d&#8217;un implant PowerShell complet appel\u00e9 PowHeartBeat qui est ensuite utilis\u00e9 pour lancer PNGLoad, en plus de communiquer avec un serveur distant via HTTP ou <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/learning\/ddos\/glossary\/internet-control-message-protocol-icmp\/\" target=\"_blank\">ICMP<\/a> pour ex\u00e9cuter des commandes arbitraires, envoyer et recevoir des fichiers et effectuer des op\u00e9rations sur les fichiers connexes.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/Les-hackers-de-Worok-ciblent-des-entreprises-et-des-gouvernements.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>ESET a d\u00e9clar\u00e9 qu&#8217;il n&#8217;\u00e9tait pas en mesure de r\u00e9cup\u00e9rer l&#8217;une des charges utiles PNG de l&#8217;\u00e9tape finale, bien qu&#8217;il soit soup\u00e7onn\u00e9 que le logiciel malveillant pourrait \u00eatre dissimul\u00e9 dans des images PNG valides et d&#8217;apparence inoffensive et donc &#8220;se cacher \u00e0 la vue&#8221; sans attirer l&#8217;attention.<\/p>\n<p>\u00ab Workok est un groupe de cyberespionnage qui d\u00e9veloppe ses propres outils, tout en exploitant les outils existants, pour compromettre ses cibles \u00bb, a d\u00e9clar\u00e9 Passilly.<\/p>\n<p>&#8220;Nous pensons que voler des informations \u00e0 leurs victimes est ce que les op\u00e9rateurs recherchent, car ils se concentrent sur des entit\u00e9s de premier plan en Asie et en Afrique, ciblant divers secteurs, \u00e0 la fois priv\u00e9s et publics, mais avec un accent particulier sur les entit\u00e9s gouvernementales&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/worok-hackers-target-high-profile-asian.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des entreprises et des gouvernements locaux de premier plan situ\u00e9s principalement en Asie font l&#8217;objet d&#8217;attaques cibl\u00e9es par un groupe d&#8217;espionnage auparavant sans papiers surnomm\u00e9 Travail qui est actif depuis fin 2020. &#8220;L&#8217;ensemble d&#8217;outils de Workok comprend un chargeur C++ CLRLoad, une porte d\u00e9rob\u00e9e PowerShell PowHeartBeat et un chargeur C# PNGLoad qui utilise la st\u00e9ganographie [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":351985,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12395,5863,4168,4158,4165,4161,133,3244,12508,6578,4157,4159,4171,4170,65,4167,4160,4163,4162,714,2497,4172,4169,4166,4164,106761],"class_list":["post-351984","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-asiatiques","tag-ciblent","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-entreprises","tag-gouvernements","tag-hackers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-plan","tag-premier","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-worok"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/351984","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=351984"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/351984\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/351985"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=351984"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=351984"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=351984"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}