Webworm APT
Изследователи по киберсигурност са идентифицирали подновени операции, свързани с обвързаната с Китай хакерска група, известна като Webworm, като са подчертали внедряването на сложни персонализирани задни врати, които злоупотребяват с Discord и Microsoft Graph API за комуникации Command-and-Control (C2). Последната активност отразява по-широка еволюция в оперативната стратегия на групата, като се набляга на скритността, инфраструктурата, базирана на прокси, и злоупотребата с легитимни платформи за избягване на откриване.
Съдържание
Постоянна заплаха, насочена към критични сектори
Публично документиран за първи път през септември 2022 г., се смята, че Webworm е активен поне от тази година. Групата постоянно е атакувала правителствени институции и корпоративни организации, работещи в сектори като ИТ услуги, аерокосмическа индустрия и електроенергия. Жертви са идентифицирани в Русия, Грузия, Монголия и няколко азиатски страни.
Злоумишленикът исторически е разчитал на троянски коне за отдалечен достъп, включително Trochilus RAT, Gh0st RAT и 9002 RAT, известен също като Hydraq или McRat. Анализатори по сигурността също така свързват дейността на групата с няколко клъстера, свързани с Китай, включително FishMonger, SixLittleMonkeys и Space Pirates. Сред тях SixLittleMonkeys привлече вниманието с използването на Gh0st RAT и семейството зловреден софтуер Mikroceen срещу организации в Централна Азия, Беларус, Русия и Монголия.
Преминаване към по-скрити операции
През последните две години Webworm постепенно се отдалечи от традиционните рамки за зловреден софтуер в полза на стелт-ориентирани прокси инструменти и полулегитимни мрежови инструменти. Преходът изглежда е насочен към намаляване на рисковете от откриване, като същевременно се поддържа постоянен достъп в компрометирани среди.
През 2025 г. групата въведе в арсенала си две новоидентифицирани задни врати:
EchoCreep, който използва Discord за операции с командване и контрол и поддържа прехвърляне на файлове, заедно с дистанционно изпълнение на команди чрез cmd.exe.
GraphWorm, по-усъвършенстван имплант, който комуникира чрез Microsoft Graph API и позволява на операторите да създават нови cmd.exe сесии, да стартират процеси, да качват и изтеглят файлове чрез Microsoft OneDrive и да прекратяват собственото си изпълнение при получаване на инструкции от оператора.
Изследователите също така наблюдаваха използването на хранилище на GitHub, маскирано като WordPress fork, за хостване на полезни товари от зловреден софтуер и помощни програми като SoftEther VPN. Тази тактика позволява на злонамерената инфраструктура да се слее с легитимна дейност по разработка, което усложнява усилията за откриване. Използването на SoftEther VPN е в съответствие с методите, възприети преди това от множество китайски групи за кибершпионаж.
Разширяване на географския обхват и прокси инфраструктурата
Последните кампании на Webworm демонстрират нарастващ фокус върху европейски цели, включително правителствени организации в Белгия, Италия, Сърбия, Полша и Испания, както и университет, разположен в Южна Африка.
В същото време, изглежда, че злонамереният злонамерен софтуер постепенно премахва по-стари семейства злонамерен софтуер като Trochilus и 9002 RAT в полза на персонализирани прокси рамки и инструменти за тунелиране. Допълнителни помощни програми, свързани с групата, включват iox, WormFrp, ChainWorm, SmuxProxy и WormSocket. Разследващите установиха, че WormFrp извлича конфигурационни данни от компрометиран Amazon S3 контейнер.
Тези прокси инструменти са проектирани да криптират комуникациите и да поддържат верижни връзки между вътрешни и външни системи, което позволява на атакуващите да маршрутизират трафика през множество хостове, като същевременно прикриват оперативна активност. Анализаторите смятат, че тези инструменти често се комбинират със SoftEther VPN, за да се прикрият допълнително движенията на атакуващите и да се подобри устойчивостта.
Командната дейност, базирана на Discord, разкрива оперативния мащаб
Анализът на инфраструктурата на Discord, използвана от EchoCreep, разкри, че трафикът на командите датира поне от 21 март 2024 г. Изследователите идентифицираха 433 съобщения, предадени през злонамерената C2 среда, базирана на Discord, които са засегнали повече от 50 уникални цели.
Въпреки че точният метод за първоначален достъп остава неизвестен, изследователите откриха, че операторите на Webworm активно използват инструменти за разузнаване и експлоатация с отворен код, като dirsearch и nuclei. Тези помощни програми се използват за груба атака срещу директории на уеб сървъри, идентифициране на открити файлове и сканиране за експлоатираеми уязвимости.
Слаби доказателства, свързващи уебчервея с космическите пирати
Въпреки някои оперативни прилики, изследователите предупреждават, че връзката между Webworm и клъстера Space Pirates остава неубедителна. Настоящото припокриване изглежда ограничено предимно до използването на публично достъпни RAT и споделени модели на инструменти, като няма достатъчно доказателства, за да се установи окончателна връзка между двете групи заплахи.
