Des entreprises et des gouvernements locaux de premier plan situés principalement en Asie font l’objet d’attaques ciblées par un groupe d’espionnage auparavant sans papiers surnommé Travail qui est actif depuis fin 2020.
« L’ensemble d’outils de Workok comprend un chargeur C++ CLRLoad, une porte dérobée PowerShell PowHeartBeat et un chargeur C# PNGLoad qui utilise la stéganographie pour extraire les charges utiles malveillantes cachées des fichiers PNG », a déclaré Thibaut Passilly, chercheur chez ESET. a dit dans un nouveau rapport publié aujourd’hui.
On dit que Worok partage des chevauchements d’outils et d’intérêts avec un autre collectif contradictoire suivi sous le nom de TA428, le groupe étant lié à des attaques contre des entités couvrant les secteurs de l’énergie, de la finance, de la mer et des télécommunications en Asie ainsi qu’une agence gouvernementale au Moyen-Orient et un entreprise privée en Afrique australe.
Les activités malveillantes entreprises par le groupe ont connu une pause notable de mai 2021 à janvier 2022, avant de reprendre le mois suivant. La société slovaque de cybersécurité a estimé que les objectifs du groupe étaient alignés sur le vol d’informations.
L’implantation initiale sur les réseaux cibles jusqu’en 2021 et 2022 impliquait l’utilisation d’exploits ProxyShell dans certaines instances, suivie du déploiement de portes dérobées personnalisées supplémentaires pour un accès enraciné. D’autres voies de compromis initiales sont encore inconnues.
Parmi les outils de l’arsenal de logiciels malveillants de Worok se trouve un chargeur de première étape appelé CLRLoad, qui est remplacé par un chargeur stéganographique basé sur .NET nommé PNGLoad, capable d’exécuter un script PowerShell inconnu intégré dans un fichier image PNG.
Les chaînes d’infection en 2022 ont depuis abandonné CLRLoad au profit d’un implant PowerShell complet appelé PowHeartBeat qui est ensuite utilisé pour lancer PNGLoad, en plus de communiquer avec un serveur distant via HTTP ou ICMP pour exécuter des commandes arbitraires, envoyer et recevoir des fichiers et effectuer des opérations sur les fichiers connexes.
ESET a déclaré qu’il n’était pas en mesure de récupérer l’une des charges utiles PNG de l’étape finale, bien qu’il soit soupçonné que le logiciel malveillant pourrait être dissimulé dans des images PNG valides et d’apparence inoffensive et donc « se cacher à la vue » sans attirer l’attention.
« Workok est un groupe de cyberespionnage qui développe ses propres outils, tout en exploitant les outils existants, pour compromettre ses cibles », a déclaré Passilly.
« Nous pensons que voler des informations à leurs victimes est ce que les opérateurs recherchent, car ils se concentrent sur des entités de premier plan en Asie et en Afrique, ciblant divers secteurs, à la fois privés et publics, mais avec un accent particulier sur les entités gouvernementales ».