Aggiornamenti recenti Marzo 30th, 2023 2:23 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- GPT4 è un formidabile suggeritore per i criminali informatici
- Dark Power: il nuovo ransomware ha colpito 10 vittime in un mese
- Gruppo hacker cinese sospettato degli attacchi zero-day a Fortinet
- Un bug di Woocommerce mette a rischio mezzo milione di store
- Meta presenta una nuova kill chain adatta a ogni tipo di attacco, o quasi
Worok: un gruppo di cyberspionaggio attivo internazionalmente
Un nuovo gruppo di cyber-spionaggio utilizza strumenti non documentati, tra cui l’estrazione steganografica di payload PowerShell da file PNG
I ricercatori di ESET hanno recentemente scoperto attacchi mirati che hanno utilizzato strumenti non documentati contro varie aziende di alto profilo e governi locali soprattutto in Asia, ma anche in Medio Oriente e Africa.
Questi attacchi sono stati condotti da un gruppo di cyberspionaggio precedentemente sconosciuto che ESET ha denominato Worok. Secondo la telemetria di ESET, Worok è attivo almeno dal 2020.
Tra i suoi obiettivi risultano aziende dei settori delle telecomunicazioni, bancario, marittimo, energetico, militare, governativo e pubblico. In alcuni casi Worok ha utilizzato le famigerate vulnerabilità ProxyShell per ottenere l’accesso iniziale.
“Riteniamo che gli operatori del malware siano a caccia di informazioni perché si concentrano su entità di alto profilo in Asia e Africa, prendendo di mira vari settori, sia privati che pubblici, ma con un’enfasi specifica sulle organizzazioni governative” – afferma Thibaut Passilly, ricercatore ESET che ha scoperto Worok.
Alla fine del 2020, Worok ha preso di mira enti e aziende in diversi Paesi, in particolare una società di telecomunicazioni in Asia orientale, un istituto bancario in Asia centrale, un’azienda del settore marittimo nel sud-est asiatico, un ente governativo in Medio Oriente e un’azienda privata in Sud Africa.
C’è stata un’interruzione significativa delle operazioni osservate da maggio 2021 a gennaio 2022, ma l’attività di Worok è ripartita nel febbraio 2022, contro una società del settore energetico in Asia centrale e un ente del settore pubblico nel sud-est asiatico.
Worok è un gruppo di cyberspionaggio che sviluppa strumenti propri e sfrutta quelli esistenti per compromettere i propri obiettivi. Il set di strumenti personalizzati del gruppo comprende due loader, CLRLoad e PNGLoad, e una backdoor, PowHeartBeat.
CLRLoad è un loader di primo livello utilizzato nel 2021, ma sostituito nel 2022, nella maggior parte dei casi, da PowHeartBeat. PNGLoad è un programma di caricamento di secondo livello che utilizza la steganografia per ricostruire i payload malevoli nascosti all’interno di immagini PNG.
PowHeartBeat è una backdoor completa scritta in PowerShell, offuscata utilizzando varie tecniche quali compressione, codifica e crittografia. Questa backdoor ha varie capacità, tra cui l’esecuzione di comandi/processi e la manipolazione di file.
Per esempio, è in grado di caricare e scaricare file da macchine compromesse e di cancellare, rinominare e spostare file. Può inoltre restituire al server di comando e controllo (C2) informazioni sui file come il percorso, la lunghezza, l’ora di creazione, gli orari di accesso e il contenuto.
“Anche se la nostra conoscenza in questa fase è limitata, speriamo che puntare i riflettori su questo gruppo incoraggi altri ricercatori a condividere informazioni in merito” – aggiunge Passilly. Ulteriori informazioni tecniche su Worok sono disponibili nel blogpost Worok: the big picture.
Condividi l'articolo
Squadre in gara sulla sicurezza con Reply Cyber Security Challenge
Nuove accuse di cyberspionaggio dalla Cina contro gli USA
Articoli correlati
Altro in questa categoria
Approfondimenti
-
GPT4 è un formidabile suggeritore per i criminali... Check Point Research (CPR) ha condotto un’analisi... -
Meta presenta una nuova kill chain adatta a ogni tipo di... Ben Nimmo ed Eric Hutchins, due esperti di cybersecurity di... -
Il settore dei trasporti è nel mirino di ransomware e data... Imprese e infrastrutture critiche non sono stati gli unici... -
Le imprese temono lo stigma degli attacchi e non investono... Nel corso dell’evento Attiva Incontra di Attiva... -
Zero-day in calo nel 2022, ma cresce la varietà Mandiant ha presentato una nuova ricerca che analizza le...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Dark Power: il nuovo ransomware ha colpito 10 vittime in un... C’è un nuovo gruppo nel mondo dei ransomware: si... -
Gruppo hacker cinese sospettato degli attacchi zero-day a... A inizio mese Fortinet aveva pubblicato un avviso... -
Un bug di Woocommerce mette a rischio mezzo milione di Automattic, l’azienda che sviluppa il CMS WordPress,... -
Meta presenta una nuova kill chain adatta a ogni tipo di... Ben Nimmo ed Eric Hutchins, due esperti di cybersecurity...
-
Il mercato SASE è cresciuto del 34% nel 2022 Secondo un nuovo rapporto pubblicato recentemente da...
Ransomware: la serie
No posts found.
