Webworm APT

محققان امنیت سایبری عملیات‌های جدیدی را مرتبط با گروه تهدید همسو با چین موسوم به وب‌ورم شناسایی کرده‌اند که نشان‌دهنده‌ی استقرار درهای پشتی سفارشی پیچیده‌ای است که از دیسکورد و رابط برنامه‌نویسی کاربردی مایکروسافت گراف برای ارتباطات فرماندهی و کنترل (C2) سوءاستفاده می‌کنند. آخرین فعالیت، نشان‌دهنده‌ی تکامل گسترده‌تر در استراتژی عملیاتی این گروه است که بر زیرساخت‌های مخفی و مبتنی بر پروکسی و سوءاستفاده از پلتفرم‌های قانونی برای فرار از شناسایی تأکید دارد.

یک تهدید مداوم که بخش‌های حیاتی را هدف قرار می‌دهد

اعتقاد بر این است که کرم وب که برای اولین بار در سپتامبر 2022 به طور عمومی ثبت شد، حداقل از همان سال فعال بوده است. این گروه به طور مداوم مؤسسات دولتی و سازمان‌های سازمانی فعال در بخش‌هایی مانند خدمات فناوری اطلاعات، هوافضا و برق را هدف قرار داده است. قربانیان در سراسر روسیه، گرجستان، مغولستان و چندین کشور آسیایی شناسایی شده‌اند.

این عامل تهدید از گذشته به تروجان‌های دسترسی از راه دور از جمله Trochilus RAT، Gh0st RAT و 9002 RAT که با نام Hydraq یا McRat نیز شناخته می‌شود، متکی بوده است. تحلیلگران امنیتی همچنین فعالیت این گروه را به چندین خوشه مرتبط با چین، از جمله FishMonger، SixLittleMonkeys و Space Pirates مرتبط دانسته‌اند. در میان این موارد، SixLittleMonkeys به دلیل استفاده از Gh0st RAT و خانواده بدافزار Mikroceen علیه نهادهایی در آسیای میانه، بلاروس، روسیه و مغولستان مورد توجه قرار گرفته است.

تغییر به سمت عملیات مخفیانه‌تر

در طول دو سال گذشته، وب‌ورم به تدریج از چارچوب‌های بدافزار سنتی فاصله گرفته و به سمت ابزارهای پروکسی مخفی‌کاری و ابزارهای شبکه نیمه‌قانونی روی آورده است. به نظر می‌رسد این تغییر به گونه‌ای طراحی شده است که خطرات شناسایی را کاهش دهد و در عین حال دسترسی مداوم را در محیط‌های آسیب‌پذیر حفظ کند.

در سال ۲۰۲۵، این گروه دو درب پشتی تازه شناسایی‌شده را به زرادخانه خود اضافه کرد:

EchoCreep که از Discord برای عملیات فرمان و کنترل استفاده می‌کند و از انتقال فایل در کنار اجرای فرمان از راه دور از طریق cmd.exe پشتیبانی می‌کند.
GraphWorm، یک بدافزار پیشرفته‌تر که از طریق Microsoft Graph API ارتباط برقرار می‌کند و به اپراتورها امکان می‌دهد جلسات cmd.exe جدید ایجاد کنند، فرآیندها را اجرا کنند، فایل‌ها را از طریق Microsoft OneDrive آپلود و دانلود کنند و پس از دریافت دستورالعمل‌های اپراتور، اجرای خود را متوقف کنند.

محققان همچنین استفاده از یک مخزن GitHub را که خود را به عنوان یک انشعاب وردپرس جا زده بود، برای میزبانی از بدافزارها و ابزارهایی مانند SoftEther VPN مشاهده کردند. این تاکتیک به زیرساخت‌های مخرب اجازه می‌دهد تا در فعالیت‌های توسعه مشروع ادغام شوند و تلاش‌های شناسایی را پیچیده کنند. استفاده از SoftEther VPN با روش‌هایی که قبلاً توسط چندین گروه جاسوسی سایبری چینی اتخاذ شده بود، همسو است.

گسترش دسترسی جغرافیایی و زیرساخت پروکسی

کمپین‌های اخیر کرم وب، تمرکز فزاینده‌ای را بر اهداف اروپایی، از جمله سازمان‌های دولتی در بلژیک، ایتالیا، صربستان، لهستان و اسپانیا و همچنین دانشگاهی واقع در آفریقای جنوبی نشان می‌دهند.

در عین حال، به نظر می‌رسد که این عامل تهدید در حال کنار گذاشتن تدریجی خانواده‌های بدافزار قدیمی‌تر مانند Trochilus و 9002 RAT به نفع چارچوب‌های پروکسی سفارشی و ابزارهای تونل‌سازی است. ابزارهای اضافی مرتبط با این گروه شامل iox، WormFrp، ChainWorm، SmuxProxy و WormSocket است. محققان دریافتند که WormFrp داده‌های پیکربندی را از یک مخزن آسیب‌دیده Amazon S3 بازیابی می‌کند.

این ابزارهای پروکسی برای رمزگذاری ارتباطات و پشتیبانی از اتصالات زنجیره‌ای در سیستم‌های داخلی و خارجی طراحی شده‌اند و به مهاجمان این امکان را می‌دهند که ضمن پنهان کردن فعالیت عملیاتی، ترافیک را از طریق میزبان‌های متعدد هدایت کنند. تحلیلگران معتقدند که این ابزارها اغلب با SoftEther VPN ترکیب می‌شوند تا حرکات مهاجم را بیشتر مبهم کرده و پایداری را بهبود بخشند.

فعالیت فرماندهی مبتنی بر Discord، مقیاس عملیاتی را آشکار می‌کند

تجزیه و تحلیل زیرساخت Discord مورد استفاده EchoCreep نشان داد که ترافیک فرمان حداقل به ۲۱ مارس ۲۰۲۴ برمی‌گردد. محققان ۴۳۳ پیام منتقل شده از طریق محیط مخرب C2 مبتنی بر Discord را شناسایی کردند که بیش از ۵۰ هدف منحصر به فرد را تحت تأثیر قرار می‌دهد.

اگرچه روش دقیق دسترسی اولیه ناشناخته مانده است، محققان کشف کردند که اپراتورهای کرم وب به طور فعال از ابزارهای شناسایی و بهره‌برداری متن‌باز مانند dirsearch و nuclei استفاده می‌کنند. این ابزارها برای حمله‌ی جستجوی فراگیر (brute-force) به دایرکتوری‌های سرور وب، شناسایی فایل‌های در معرض خطر و اسکن آسیب‌پذیری‌های قابل بهره‌برداری استفاده می‌شوند.

شواهد ضعیفی که کرم وب را به دزدان فضایی مرتبط می‌کند

علیرغم شباهت‌های عملیاتی خاص، محققان هشدار می‌دهند که ارتباط بین Webworm و خوشه Space Pirates همچنان نامشخص است. به نظر می‌رسد همپوشانی فعلی در درجه اول به استفاده از RAT های عمومی و الگوهای ابزار مشترک محدود می‌شود و شواهد کافی برای ایجاد رابطه قطعی بین این دو گروه تهدید وجود ندارد.