Scoperto un nuovo gruppo di cyberspionaggio: Worok

Scoperto un nuovo gruppo di cyberspionaggio: Worok

Worok è il nuovo gruppo di cyberspionaggio scoperto da ESET, che prende di mira grandi aziende e istituzioni governative: cosa sappiamo.
Scoperto un nuovo gruppo di cyberspionaggio: Worok
Worok è il nuovo gruppo di cyberspionaggio scoperto da ESET, che prende di mira grandi aziende e istituzioni governative: cosa sappiamo.

È stato battezzato Worok dai ricercatori ESET che l’hanno scoperto, un nuovo gruppo di cyberspionaggio che prende di mira aziende e istituzioni. Gli attacchi fin qui rilevati, tutti mirati, sono stati indirizzati a realtà di alto profilo e governative. Sono localizzate soprattutto in Asia, ma anche in Medio Oriente e in Africa.

Cyberspionaggio: ESET ha scoperto il gruppo Worok

Stando alla telemetria raccolta, l’attività avrebbe preso il via già nel 2020, intensificandosi poi successivamente. Solo tra il maggio 2021 e il gennaio 2022 è stata registrata un’interruzione significativa delle operazioni, salvo poi riprendere dal febbraio di quest’anno. Tra i settori più colpiti figurano telecomunicazioni, bancario, marittimo, energetico, militare e pubblico. In alcuni casi sono state sfruttate le ben note vulnerabilità ProxyShell.

Si ritiene che Worok sviluppi anche strumenti propri per compromettere l’integrità dei propri obiettivi. Questi comprendono due loader (CLRLoad e PNGLoad) e una backdoor (PowHeartBeat). Riportiamo di seguito le parole di Thibaut Passilly, ricercatore ESET autore della scoperta.

Riteniamo che gli operatori del malware siano a caccia di informazioni, perché si concentrano su entità di alto profilo in Asia e Africa, prendendo di mira vari settori, sia privati che pubblici, ma con un’enfasi specifica sulle organizzazioni governative. Anche se la nostra conoscenza in questa fase è limitata, speriamo che puntare i riflettori su questo gruppo incoraggi altri ricercatori a condividere informazioni in merito.

 

Worok: la distribuzione geografica degli attacchi

Nel dettaglio, CLRLoad è un loader di primo livello. Utilizzato nel 2021, è stato poi sostituito nella maggior parte dei casi l’anno successivo da PowHeartBeat, una backdoor completa scritta in PowerShell. Per quanto riguarda invece PNGLoad, si tratta di un programma di caricamento di secondo livello che impiega la steganografia per ricostruire i payload dannosi nascosti nelle immagini in formato PNG. Altri dettagli nell’approfondimento dedicato.

Minacce informatiche: un pericolo per tutti

La scoperta dei ricercatori ESE testimonia nuovamente come le minacce informatiche prendano di mira bersagli di ogni tipo e a qualsiasi livello. Se per Worok il target è puntato contro grandi aziende e governi, malware e vulnerabilità possono compromettere anche i dispositivi che noi tutti impieghiamo nel quotidiano, per il lavoro, lo studio o l’intrattenimento. Ecco perché affidarsi a una soluzione antivirus affidabile e costantemente aggiornata può rivelarsi di importanza cruciale: segnaliamo McAfee Total Protection oggi in sconto a meno di metà prezzo, compatibile con Windows, macOS, Android e iOS.

Fonte: ESET
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 6 set 2022
Link copiato negli appunti