Webworm APT
Küberjulgeoleku uurijad on tuvastanud Hiinaga seotud ohurühmitusega Webworm seotud uusi operatsioone, tuues esile keerukate kohandatud tagauste kasutuselevõtu, mis kuritarvitavad Discordi ja Microsoft Graph API-t juhtimis- ja juhtimissüsteemi (C2) suhtluseks. Viimane tegevus peegeldab rühmituse operatiivstrateegia laiemat arengut, rõhutades varjatust, puhverserveripõhist infrastruktuuri ja legitiimsete platvormide väärkasutamist avastamise vältimiseks.
Sisukord
Püsiv oht, mis on suunatud kriitilistele sektoritele
Webworm, mis dokumenteeriti esmakordselt avalikkusele 2022. aasta septembris, arvatakse olevat olnud aktiivne vähemalt sellest aastast alates. Rühmitus on järjepidevalt sihikule võtnud valitsusasutusi ja ettevõtteid, mis tegutsevad sellistes sektorites nagu IT-teenused, lennundus ja elektrienergia. Ohvreid on tuvastatud Venemaal, Gruusias, Mongoolias ja mitmes Aasia riigis.
See ohutegija on ajalooliselt toetunud kaugjuurdepääsuga troojalastele, sealhulgas Trochilus RAT, Gh0st RAT ja 9002 RAT, tuntud ka kui Hydraq või McRat. Turvaanalüütikud on seostanud rühmituse tegevust ka mitmete Hiinaga seotud klastritega, sealhulgas FishMonger, SixLittleMonkeys ja Space Pirates. Nende hulgas pälvis SixLittleMonkeys tähelepanu Gh0st RATi ja Mikroceeni pahavara perekonna kasutamisega Kesk-Aasia, Valgevene, Venemaa ja Mongoolia üksuste vastu.
Nihe salajasemate operatsioonide suunas
Viimase kahe aasta jooksul on Webworm järk-järgult eemaldunud traditsioonilistest pahavara raamistikest ja eelistanud varjatud toimingutele orienteeritud puhverserveri utiliite ja poollegitiimseid võrgutööriistu. Üleminek näib olevat loodud selleks, et vähendada avastamisriske, säilitades samal ajal püsiva juurdepääsu ohustatud keskkondades.
2025. aastal lisas grupp oma arsenali kaks äsja tuvastatud tagaust:
EchoCreep, mis kasutab käskude ja juhtimistoimingute jaoks Discordi ning toetab failiedastust koos käskude kaugkäivitamisega cmd.exe kaudu.
GraphWorm on täiustatud implantaat, mis suhtleb Microsoft Graph API kaudu ja võimaldab operaatoritel luua uusi cmd.exe seansse, käivitada protsesse, üles ja alla laadida faile Microsoft OneDrive'i kaudu ning lõpetada oma töö operaatori juhiste saamisel.
Teadlased täheldasid ka GitHubi repositooriumi kasutamist, mis maskeerus WordPressi forkina, et majutada pahavara kasulikke koormusi ja utiliite (nt SoftEther VPN). See taktika võimaldab pahatahtlikul infrastruktuuril sulanduda legaalsesse arendustegevusse, mis raskendab tuvastamist. SoftEther VPN-i kasutamine on kooskõlas meetoditega, mida on varem kasutanud mitmed Hiina küberspionaažirühmitused.
Geograafilise ulatuse ja vahendusinfrastruktuuri laiendamine
Webwormi hiljutised kampaaniad näitavad üha suuremat keskendumist Euroopa sihtmärkidele, sealhulgas valitsusorganisatsioonidele Belgias, Itaalias, Serbias, Poolas ja Hispaanias, aga ka Lõuna-Aafrikas asuvale ülikoolile.
Samal ajal näib ohu tekitaja järk-järgult loobuvat vanematest pahavaraperekondadest, nagu Trochilus ja 9002 RAT, ning eelistab kohandatud puhverserveri raamistikke ja tunneltööriistu. Lisaks on rühmitusega seotud utiliidid iox, WormFrp, ChainWorm, SmuxProxy ja WormSocket. Uurijad leidsid, et WormFrp hangib konfiguratsiooniandmeid ohustatud Amazon S3 ämbrist.
Need puhverserveri tööriistad on loodud side krüpteerimiseks ja ahelühenduste toetamiseks sise- ja välissüsteemides, võimaldades ründajatel suunata liiklust läbi mitme hosti, varjates samal ajal operatiivset tegevust. Analüütikute arvates kombineeritakse neid tööriistu sageli SoftEther VPN-iga, et ründajate liikumist veelgi varjata ja püsivust parandada.
Discord-põhine juhtimistegevus paljastab operatiivse ulatuse
EchoCreepi kasutatava Discordi infrastruktuuri analüüs näitas, et käskude liiklus pärineb vähemalt 21. märtsist 2024. Teadlased tuvastasid pahatahtliku Discordil põhineva C2-keskkonna kaudu edastatud 433 sõnumit, mis mõjutasid enam kui 50 unikaalset sihtmärki.
Kuigi täpne algne ligipääsumeetod on teadmata, avastasid uurijad, et Webworm'i operaatorid kasutavad aktiivselt avatud lähtekoodiga luure- ja ärakasutamise tööriistu, näiteks dirsearch ja nucleics. Neid utiliite kasutatakse veebiserveri kataloogide jõhkraks muutmiseks, avatud failide tuvastamiseks ja ärakasutatavate haavatavuste otsimiseks.
Nõrgad tõendid, mis seovad veebiussi kosmosepiraatidega
Vaatamata teatud operatiivsetele sarnasustele hoiatavad teadlased, et seos Webwormi ja Space Pirates'i klastri vahel on endiselt ebaselge. Praegune kattumine näib piirduvat peamiselt avalikult kättesaadavate RAT-ide ja jagatud tööriistamustrite kasutamisega ning kahe ohurühma vahelise lõpliku seose kindlakstegemiseks pole piisavalt tõendeid.
