Por Flavio Pedro Antonio
Los investigadores de ESET descubrieron recientemente ataques dirigidos que usaban herramientas no documentadas contra varias empresas de alto perfil y gobiernos locales, principalmente en Asia, pero también en Medio Oriente y África. Estos ataques fueron realizados por un grupo de ciberespionaje previamente desconocido que ESET ha denominado Worok. Según la telemetría de ESET, Worok ha estado activo desde al menos 2020 y continúa activo en la actualidad. Entre los objetivos se encontraban empresas de los sectores de telecomunicaciones, bancario, marítimo, energético, militar, gubernamental y público. Worok usó las infames vulnerabilidades de ProxyShell para obtener acceso inicial en algunos casos.
“Creemos que los operadores de malware buscan información de sus víctimas porque se enfocan en entidades de alto perfil en Asia y África, apuntando a varios sectores, tanto privados como públicos, pero con un énfasis específico en entidades gubernamentales”, dice el investigador de ESET Thibaut Passilly, quien descubrió Workok.
A fines de 2020, Worok estaba apuntando a gobiernos y empresas en varios países, específicamente:
• Una empresa de telecomunicaciones en el Este de Asia
• Un banco en Asia Central
• Una empresa de la industria marítima en el sudeste asiático
• Una entidad gubernamental en el Medio Oriente
• Una empresa privada en el sur de África
Hubo una interrupción significativa en las operaciones observadas desde mayo de 2021 hasta enero de 2022, pero la actividad de Worok regresó en febrero de 2022, con el objetivo de:
• Una empresa de energía en Asia Central
• Una entidad del sector público en el sudeste asiático
Worok es un grupo de ciberespionaje que desarrolla sus propias herramientas y aprovecha las herramientas existentes para comprometer sus objetivos. El conjunto de herramientas personalizadas del grupo incluye dos cargadores, CLRLoad y PNGLoad, y una puerta trasera, PowHeartBeat.
CLRLoad es un cargador de primera etapa que se usó en 2021, pero en 2022 fue reemplazado, en la mayoría de los casos, por PowHeartBeat. PNGLoad es un cargador de segunda etapa que utiliza esteganografía para reconstruir cargas útiles maliciosas ocultas en imágenes PNG.
PowHeartBeat es una puerta trasera con todas las funciones escrita en PowerShell, ofuscada mediante varias técnicas, como compresión, codificación y cifrado. Esta puerta trasera tiene varias capacidades, incluida la ejecución de comandos/procesos y la manipulación de archivos. Por ejemplo, es capaz de cargar y descargar archivos de máquinas comprometidas; devolver información del archivo tal como la ruta, la longitud, el tiempo de creación, los tiempos de acceso y el contenido al servidor de comando y control; y eliminar, renombrar y mover archivos.
“Si bien nuestra visibilidad en esta etapa es limitada, esperamos que poner el foco en este grupo anime a otros investigadores a compartir información sobre este grupo”, agrega Passilly.
Para obtener más información técnica sobre Worok, consulte la publicación de blog «Worok: el panorama general» en WeLiveSecurity. Asegúrese de seguir a ESET Research en Twitter para conocer las últimas noticias de ESET Research.
Por Flavio Pedro Antonio
