Skip to content
le gang de hackers qui secoue les gouvernements, les armées et les banques


Vous serez également intéressé


[EN VIDÉO] Cyberespionnage : quelles sont les menaces ?
Ingérence dans les élections, vol de données industrielles, piratage de systèmes militaires… Le cyberespionnage a pris son envol ces deux dernières décennies.

Des chercheurs de la société de cybersécurité Eset ont récemment découvert un nouveau groupe des pirates à l’aide d’outils jusqu’alors inconnus. Baptisé Worok, le groupe s’en prend aux gouvernements et à certaines grandes entreprises en Asie, mais aussi au Moyen-Orient et dans des pays d’Afrique australe.

Les premières activités du groupe ont été détectées au début de l’année 2021 lors de la découverte les échecs ProxyShell. Leur profil était alors très proche d’un autre groupe, TA428, laissant les chercheurs dans le doute quant à savoir s’il s’agissait des mêmes individus. Cependant, ils ont pu différencier leurs activités grâce aux outils utilisés et identifier les premières attaques Worok qui ont eu lieu fin 2020. » Nous considérons que les liens ne sont pas assez forts pour considérer Worok comme le même groupe que TA428, mais les deux groupes pourraient partager des outils et avoir des intérêts communs », ont indiqué les chercheurs de leur rapport.

Un groupe à nouveau actif depuis le début de l’année

Le groupe a eu une première période d’activité jusqu’en mai 2021, avant de faire une pause et de réapparaître en février de cette année ciblant une entreprise duénergie en Asie centrale et une entité du secteur public en Asie du Sud-Est. Eset n’a pas réussi à déterminer les moyens utilisés pour infiltrer les réseaux des victimes dans la plupart des cas. Cependant, certaines autorités ont exploité les échecs ProxyShell. Les pirates ont ensuite implanté un web-shell ou shelled code, autrement dit accéder à un serveur web pour pouvoir se connecter à volonté au réseau de la victime.

Les pirates utiliser des outils Web disponibles gratuitement pour explorer le réseau compromis, tels que Mimikatz, EarthWorm, ReGeorg et NBTscan. Puis ils installent un premier programme pour prendre le contrôle des machines. En 2021, c’était CLRLoad, qui a été remplacé en 2022 par PowHeartBeat, un logiciel porte arrière écrit avec le langage de script PowerShell. Il a notamment la capacité de se connecter à un serveur afin de recevoir des commandes et télécharger d’autres programmes.

Une activité qui suggère un vol d’informations

Dans les deux cas, le programme ne sert qu’à charger un deuxième outil, PNGLoad. Ceci est basé sur la la stéganographieun message caché dans un autre message, pour charger le malware final. Dans ce cas, il charge un Image PNG, qui contient du code caché. Les chercheurs d’Eset n’ont pas pu récupérer les images utilisées pour les analyser, mais elles devraient être parfaitement valides et donc apparaître totalement inoffensives pour la victime.

L’impossibilité d’analyser les fichiers PNG signifie également qu’ils ne savent pas quel programme final a été chargé et donc quel était le but exact de l’activité. Cependant, l’objectif principal du groupe semble avant tout l’espionnage.  » Compte tenu du profil des cibles et des outils que nous avons vus déployés contre ces victimes, nous pensons que l’objectif principal de Worok est de voler des informations. ont déclaré les chercheurs.

Intéressé par ce que vous venez de lire ?


zimonews Fr2En2Fr

Toutes les actualités du site n'expriment pas le point de vue du site, mais nous transmettons cette actualité automatiquement et la traduisons grâce à une technologie programmatique sur le site et non à partir d'un éditeur humain.