Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
Set 07, 2022 Redazione news Hacking, News, RSS 0
I ricercatori di ESET hanno recentemente scoperto attacchi mirati che hanno utilizzato strumenti non documentati contro varie aziende di alto profilo e governi locali soprattutto in Asia, ma anche in Medio Oriente e Africa.
Questi attacchi sono stati condotti da un gruppo di cyberspionaggio precedentemente sconosciuto che ESET ha denominato Worok. Secondo la telemetria di ESET, Worok è attivo almeno dal 2020.
Tra i suoi obiettivi risultano aziende dei settori delle telecomunicazioni, bancario, marittimo, energetico, militare, governativo e pubblico. In alcuni casi Worok ha utilizzato le famigerate vulnerabilità ProxyShell per ottenere l’accesso iniziale.
“Riteniamo che gli operatori del malware siano a caccia di informazioni perché si concentrano su entità di alto profilo in Asia e Africa, prendendo di mira vari settori, sia privati che pubblici, ma con un’enfasi specifica sulle organizzazioni governative” – afferma Thibaut Passilly, ricercatore ESET che ha scoperto Worok.
Alla fine del 2020, Worok ha preso di mira enti e aziende in diversi Paesi, in particolare una società di telecomunicazioni in Asia orientale, un istituto bancario in Asia centrale, un’azienda del settore marittimo nel sud-est asiatico, un ente governativo in Medio Oriente e un’azienda privata in Sud Africa.
C’è stata un’interruzione significativa delle operazioni osservate da maggio 2021 a gennaio 2022, ma l’attività di Worok è ripartita nel febbraio 2022, contro una società del settore energetico in Asia centrale e un ente del settore pubblico nel sud-est asiatico.
Worok è un gruppo di cyberspionaggio che sviluppa strumenti propri e sfrutta quelli esistenti per compromettere i propri obiettivi. Il set di strumenti personalizzati del gruppo comprende due loader, CLRLoad e PNGLoad, e una backdoor, PowHeartBeat.
CLRLoad è un loader di primo livello utilizzato nel 2021, ma sostituito nel 2022, nella maggior parte dei casi, da PowHeartBeat. PNGLoad è un programma di caricamento di secondo livello che utilizza la steganografia per ricostruire i payload malevoli nascosti all’interno di immagini PNG.
PowHeartBeat è una backdoor completa scritta in PowerShell, offuscata utilizzando varie tecniche quali compressione, codifica e crittografia. Questa backdoor ha varie capacità, tra cui l’esecuzione di comandi/processi e la manipolazione di file.
Per esempio, è in grado di caricare e scaricare file da macchine compromesse e di cancellare, rinominare e spostare file. Può inoltre restituire al server di comando e controllo (C2) informazioni sui file come il percorso, la lunghezza, l’ora di creazione, gli orari di accesso e il contenuto.
“Anche se la nostra conoscenza in questa fase è limitata, speriamo che puntare i riflettori su questo gruppo incoraggi altri ricercatori a condividere informazioni in merito” – aggiunge Passilly. Ulteriori informazioni tecniche su Worok sono disponibili nel blogpost Worok: the big picture.
Ott 08, 2024 0
Ott 01, 2024 0
Set 10, 2024 0
Mag 24, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 18, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...Nov 15, 2024 0
La sicurezza dei toolkit ML continua a essere minacciata...