Webworm APT
Ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν ανανεωμένες επιχειρήσεις που συνδέονται με την ομάδα απειλών Webworm, η οποία έχει ευθυγραμμιστεί με την Κίνα, υπογραμμίζοντας την ανάπτυξη εξελιγμένων, προσαρμοσμένων backdoors που κάνουν κατάχρηση του Discord και του Microsoft Graph API για επικοινωνίες Command-and-Control (C2). Η τελευταία δραστηριότητα αντικατοπτρίζει μια ευρύτερη εξέλιξη στην επιχειρησιακή στρατηγική της ομάδας, δίνοντας έμφαση στην μυστικότητα, την υποδομή που βασίζεται σε proxy και την κακή χρήση νόμιμων πλατφορμών για την αποφυγή ανίχνευσης.
Πίνακας περιεχομένων
Μια επίμονη απειλή που στοχεύει κρίσιμους τομείς
Ο ιός Webworm, ο οποίος καταγράφηκε δημόσια για πρώτη φορά τον Σεπτέμβριο του 2022, πιστεύεται ότι είναι ενεργός τουλάχιστον από εκείνο το έτος. Η ομάδα έχει στοχεύσει συστηματικά κυβερνητικούς οργανισμούς και επιχειρηματικούς οργανισμούς που δραστηριοποιούνται σε τομείς όπως οι υπηρεσίες πληροφορικής, η αεροδιαστημική και η ηλεκτρική ενέργεια. Θύματα έχουν εντοπιστεί σε Ρωσία, Γεωργία, Μογγολία και αρκετές ασιατικές χώρες.
Ο απειλητικός φορέας ιστορικά βασιζόταν σε trojan απομακρυσμένης πρόσβασης, όπως τα Trochilus RAT, Gh0st RAT και 9002 RAT, επίσης γνωστά ως Hydraq ή McRat. Οι αναλυτές ασφαλείας έχουν επίσης συνδέσει τη δραστηριότητα της ομάδας με διάφορα clusters που σχετίζονται με την Κίνα, όπως τα FishMonger, SixLittleMonkeys και Space Pirates. Μεταξύ αυτών, το SixLittleMonkeys τράβηξε την προσοχή για τη χρήση του Gh0st RAT και της οικογένειας κακόβουλου λογισμικού Mikroceen εναντίον οντοτήτων στην Κεντρική Ασία, τη Λευκορωσία, τη Ρωσία και τη Μογγολία.
Στροφή προς πιο αθόρυβες επιχειρήσεις
Τα τελευταία δύο χρόνια, το Webworm έχει σταδιακά απομακρυνθεί από τα παραδοσιακά πλαίσια κακόβουλου λογισμικού υπέρ βοηθητικών προγραμμάτων proxy με κρυφό προσανατολισμό και ημι-νόμιμων εργαλείων δικτύωσης. Η μετάβαση φαίνεται να έχει σχεδιαστεί για να μειώσει τους κινδύνους ανίχνευσης, διατηρώντας παράλληλα τη συνεχή πρόσβαση σε παραβιασμένα περιβάλλοντα.
Το 2025, η ομάδα εισήγαγε δύο πρόσφατα αναγνωρισμένα backdoors στο οπλοστάσιό της:
Το EchoCreep, το οποίο αξιοποιεί το Discord για λειτουργίες εντολών και ελέγχου και υποστηρίζει μεταφορές αρχείων παράλληλα με την απομακρυσμένη εκτέλεση εντολών μέσω του cmd.exe.
GraphWorm, ένα πιο προηγμένο εμφύτευμα που επικοινωνεί μέσω του Microsoft Graph API και επιτρέπει στους χειριστές να δημιουργούν νέες συνεδρίες cmd.exe, να εκκινούν διεργασίες, να ανεβάζουν και να κατεβάζουν αρχεία μέσω του Microsoft OneDrive και να τερματίζουν την εκτέλεσή του μόλις λάβουν οδηγίες από τον χειριστή.
Οι ερευνητές παρατήρησαν επίσης τη χρήση ενός αποθετηρίου GitHub που μεταμφιέζεται σε fork WordPress για τη φιλοξενία κακόβουλων προγραμμάτων και βοηθητικών προγραμμάτων όπως το SoftEther VPN. Αυτή η τακτική επιτρέπει στην κακόβουλη υποδομή να ενσωματωθεί σε νόμιμη δραστηριότητα ανάπτυξης, περιπλέκοντας τις προσπάθειες ανίχνευσης. Η χρήση του SoftEther VPN ευθυγραμμίζεται με μεθόδους που έχουν υιοθετηθεί προηγουμένως από πολλές κινεζικές ομάδες κυβερνοκατασκοπείας.
Επέκταση Γεωγραφικής Εμβέλειας και Υποδομής Proxy
Οι πρόσφατες εκστρατείες του Webworm καταδεικνύουν μια αυξανόμενη εστίαση σε ευρωπαϊκούς στόχους, συμπεριλαμβανομένων κυβερνητικών οργανισμών στο Βέλγιο, την Ιταλία, τη Σερβία, την Πολωνία και την Ισπανία, καθώς και ενός πανεπιστημίου που βρίσκεται στη Νότια Αφρική.
Ταυτόχρονα, ο απειλητικός παράγοντας φαίνεται να καταργεί σταδιακά παλαιότερες οικογένειες κακόβουλου λογισμικού, όπως το Trochilus και το 9002 RAT, υπέρ προσαρμοσμένων πλαισίων proxy και εργαλείων tunneling. Πρόσθετα βοηθητικά προγράμματα που σχετίζονται με την ομάδα περιλαμβάνουν τα iox, WormFrp, ChainWorm, SmuxProxy και WormSocket. Οι ερευνητές διαπίστωσαν ότι το WormFrp ανακτά δεδομένα διαμόρφωσης από έναν παραβιασμένο κάδο Amazon S3.
Αυτά τα εργαλεία proxy έχουν σχεδιαστεί για να κρυπτογραφούν τις επικοινωνίες και να υποστηρίζουν αλυσιδωτές συνδέσεις σε εσωτερικά και εξωτερικά συστήματα, επιτρέποντας στους εισβολείς να δρομολογούν την κίνηση μέσω πολλαπλών κεντρικών υπολογιστών, αποκρύπτοντας παράλληλα την επιχειρησιακή δραστηριότητα. Οι αναλυτές πιστεύουν ότι αυτά τα εργαλεία συνδυάζονται συχνά με το SoftEther VPN για να αποκρύψουν περαιτέρω τις κινήσεις των εισβολέων και να βελτιώσουν την ανθεκτικότητα.
Η δραστηριότητα διοίκησης που βασίζεται σε Discord αποκαλύπτει την επιχειρησιακή κλίμακα
Η ανάλυση της υποδομής Discord που χρησιμοποιείται από το EchoCreep αποκάλυψε ότι η κίνηση εντολών χρονολογείται τουλάχιστον από τις 21 Μαρτίου 2024. Οι ερευνητές εντόπισαν 433 μηνύματα που μεταδόθηκαν μέσω του κακόβουλου περιβάλλοντος C2 που βασίζεται στο Discord, επηρεάζοντας περισσότερους από 50 μοναδικούς στόχους.
Παρόλο που η ακριβής αρχική μέθοδος πρόσβασης παραμένει άγνωστη, οι ερευνητές ανακάλυψαν ότι οι χειριστές του Webworm χρησιμοποιούν ενεργά εργαλεία αναγνώρισης και εκμετάλλευσης ανοιχτού κώδικα, όπως το dirsearch και το nucleus. Αυτά τα βοηθητικά προγράμματα χρησιμοποιούνται για την επιβολή βίαιων επιθέσεων σε καταλόγους διακομιστών ιστού, την αναγνώριση εκτεθειμένων αρχείων και τη σάρωση για εκμεταλλεύσιμα τρωτά σημεία.
Αδύναμα στοιχεία που συνδέουν το Webworm με τους πειρατές του διαστήματος
Παρά ορισμένες λειτουργικές ομοιότητες, οι ερευνητές προειδοποιούν ότι η σύνδεση μεταξύ του Webworm και του συμπλέγματος Space Pirates παραμένει ασαφής. Η τρέχουσα επικάλυψη φαίνεται να περιορίζεται κυρίως στη χρήση δημόσια διαθέσιμων RAT και κοινών προτύπων εργαλείων, με ανεπαρκή στοιχεία για να διαπιστωθεί μια οριστική σχέση μεταξύ των δύο ομάδων απειλών.
