Investigadores da ESET descobriram uma série de ciberataques que usam ferramentas nunca antes documentadas contra várias empresas de alto perfil e governos locais, maioritariamente na Ásia, mas também no Médio Oriente e África. Estes ataques foram lançados por um grupo de ciberespionagem previamente desconhecido a que a ESET chamou Worok. De acordo com a telemetria da ESET, o grupo está ativo pelo menos desde 2020 e continua ativo até hoje. Entre os alvos encontram-se empresas de telecomunicações, bancárias, navais, energia, militares, governamentais e do setor público. Em alguns casos os cibercriminosos usaram vulnerabilidades ProxyShell (uma série de vulnerabilidades em servidores Exchange que já foram corrigidas pela Microsoft mas que continuam a ser exploradas atualmente) para obter acesso inicial aos sistemas.
“Acreditamos que os operadores de malware procuram roubar dados das suas vítimas, uma vez que se concentram em entidades de alto perfil na Ásia e em África, visando diversos setores, tanto privados como públicos, mas com um ênfase específico em entidades governamentais,” disse Thibaut Passilly, um dos investigadores da ESET que descobriu o Worok.
No final de 2020, o grupo Worok estava a atacar governos e empresas em múltiplos países, incluindo:
- Uma empresa de telecomunicações na Ásia Oriental
- Um banco na Ásia Central
- Uma empresa da indústria naval no Sueste Asiático
- Uma entidade governamental no Médio Oriente
- Uma grande empresa privada no sul de África
Houve uma quebra significativa nas operações do grupo entre maio de 2021 e janeiro de 2022, mas a atividade retomou em fevereiro de 2022, afetando:
- Uma empresa de energia na Ásia Central
- Uma entidade do setor público no Sueste Asiático
Worok é um grupo de ciberespionagem que desenvolve as suas próprias ferramentas e tira partido de ferramentas existentes para comprometer os seus alvos. O conjunto de ferramentas do grupo inclui dois loaders, o CLRLoad e o PNGLoad, e uma backdoor, a PowHeartBeat. O CLRLoad foi usado em 2021, mas em 2022 foi substituído, na maior parte dos casos, pela PowHeartBeat. Em ambos os anos, o PNGLoad foi usado para reconstruir cargas maliciosas escondidas em imagens PNG. Note-se que os loaders são componentes de software legítimos que carregam programas e bibliotecas, mas que neste caso foram usados para carregar malware.
“Esperamos que revelando as operações deste grupo outros investigadores se sintam encorajados a partilhar informação sobre ele,” acrescentou Passilly.