Workok : Groupe de cyber-espionnage qui attaque les entreprises et les gouvernements

Workok : Groupe de cyber-espionnage qui attaque les entreprises et les gouvernements

Avez-vous déjà entendu parler du groupe Worok ? Les enquêteurs d’ESET, une entreprise européenne de cybersécurité, ont découvert une série de cyberattaques utilisant des outils jamais documentés auparavant contre un certain nombre d’entreprises et de gouvernements locaux de premier plan.

Ces attaques ont été lancées par un groupe de cyber-espionnage jusque-là inconnu qu’ESET a appelé Worok.

Workok Groupe de cyber espionnage qui attaque les entreprises et

Work: Attaques de groupe menées dans plusieurs pays

Selon la télémétrie ESET, le groupe est actif depuis au moins 2020 et reste actif à ce jour. Parmi les cibles figurent les télécommunications, la banque, la marine, l’énergie, l’armée, le gouvernement et les entreprises du secteur public.

Dans certains cas, les cybercriminels ont utilisé les vulnérabilités ProxyShell (une série de vulnérabilités dans les serveurs Exchange qui ont déjà été corrigées par Microsoft mais qui continuent d’être exploitées aujourd’hui) pour obtenir un accès initial aux systèmes.

Fin 2020, le groupe Worok ciblait les gouvernements et les entreprises de plusieurs pays, notamment :

  • Une entreprise de télécommunications en Asie de l’Est
  • Une banque en Asie centrale
  • Une entreprise du secteur maritime en Asie du Sud-Est
  • Une entité gouvernementale au Moyen-Orient
  • Une grande entreprise privée en Afrique australe

1664322004 684 Workok Groupe de cyber espionnage qui attaque les entreprises et

L’activité du groupe a connu une baisse significative entre mai 2021 et janvier 2022, mais l’activité a repris en février 2022, affectant :

  • Une entreprise énergétique en Asie centrale
  • Une entité du secteur public en Asie du Sud-Est

Worok est un groupe de cyber-espionnage qui développe ses propres outils et profite des outils existants pour compromettre ses cibles. L’ensemble d’outils du groupe comprend deux chargeurs, CLRLoad et PNGLoad, et une porte dérobée, PowHeartBeat.

CLRLoad a été utilisé en 2021, mais en 2022 il a été remplacé, dans la plupart des cas, par PowHeartBeat. Au cours des deux années, PNGLoad a été utilisé pour reconstruire les charges utiles malveillantes cachées dans les images PNG. Notez que les chargeurs sont des composants logiciels légitimes qui chargent des programmes et des bibliothèques, mais dans ce cas, ils ont été utilisés pour charger des logiciels malveillants.

Envie de vous détendre un peu ? Voici un reportage sur l’intelligence artificielle :