Webworm Apt
Kyberturvallisuustutkijat ovat tunnistaneet uusia operaatioita, jotka liittyvät Kiinan kanssa liittoutuneeseen Webworm-nimiseen uhkaryhmään. Näissä toimissa on otettu käyttöön hienostuneita mukautettuja takaportteja, jotka väärinkäyttävät Discordia ja Microsoft Graph API:a komento- ja hallintaviestintään (C2). Viimeisin toiminta heijastaa ryhmän operatiivisen strategian laajempaa kehitystä, jossa korostetaan hiiviskelyä, välityspalvelinpohjaista infrastruktuuria ja laillisten alustojen väärinkäyttöä havaitsemisen välttämiseksi.
Sisällysluettelo
Jatkuva uhka kriittisille sektoreille
Webwormin uskotaan olleen aktiivinen ainakin tuosta vuodesta lähtien, ja se dokumentoitiin julkisesti ensimmäistä kertaa syyskuussa 2022. Ryhmä on jatkuvasti kohdistanut iskujaan valtion laitoksiin ja yrityksiin, jotka toimivat esimerkiksi IT-palveluiden, ilmailu- ja avaruusteollisuuden sekä sähköenergian aloilla. Uhreja on tunnistettu Venäjällä, Georgiassa, Mongoliassa ja useissa Aasian maissa.
Uhkatoimija on perinteisesti luottanut etäkäyttötroijalaisiin, kuten Trochilus RAT, Gh0st RAT ja 9002 RAT, joka tunnetaan myös nimillä Hydraq tai McRat. Tietoturva-analyytikot ovat myös yhdistäneet ryhmän toiminnan useisiin Kiinaan liittyviin klustereihin, kuten FishMonger, SixLittleMonkeys ja Space Pirates. Näistä SixLittleMonkeys sai huomiota käyttäessään Gh0st RATia ja Mikroceen-haittaohjelmaperhettä Keski-Aasian, Valko-Venäjän, Venäjän ja Mongolian toimijoita vastaan.
Siirtyminen kohti piilotettuja toimintoja
Viimeisten kahden vuoden aikana Webworm on vähitellen siirtynyt pois perinteisistä haittaohjelmakehikoista ja siirtynyt kohti piilotettuja välityspalvelinohjelmia ja puoliksi laillisia verkkotyökaluja. Siirtymä näyttää olevan suunniteltu vähentämään havaitsemisriskejä samalla kun ylläpidetään jatkuvaa pääsyä vaarantuneisiin ympäristöihin.
Vuonna 2025 ryhmä otti käyttöön kaksi uutta tunnistettua takaovea arsenaaliinsa:
EchoCreep, joka hyödyntää Discordia komento- ja ohjaustoiminnoissa ja tukee tiedostonsiirtoja etäkomentojen suorittamisen ohella cmd.exe-tiedoston kautta.
GraphWorm on edistyneempi implantti, joka kommunikoi Microsoft Graph API:n kautta ja mahdollistaa operaattoreille uusien cmd.exe-istuntojen luomisen, prosessien käynnistämisen, tiedostojen lataamisen ja lataamisen Microsoft OneDriven kautta sekä oman suorituksensa lopettamisen saatuaan käyttäjän ohjeita.
Tutkijat havaitsivat myös WordPress-haaraksi naamioituneen GitHub-arkiston käyttöä haittaohjelmien hyötykuormien ja apuohjelmien, kuten SoftEther VPN:n, isännöimiseen. Tämä taktiikka mahdollistaa haitallisen infrastruktuurin sulautumisen lailliseen kehitystoimintaan, mikä vaikeuttaa havaitsemistoimia. SoftEther VPN:n käyttö on linjassa useiden kiinalaisten kybervakoiluryhmien aiemmin käyttämien menetelmien kanssa.
Maantieteellisen ulottuvuuden ja välityspalvelimen infrastruktuurin laajentaminen
Webwormin viimeaikaiset kampanjat osoittavat yhä enemmän keskittymistä eurooppalaisiin kohteisiin, mukaan lukien hallitusorganisaatiot Belgiassa, Italiassa, Serbiassa, Puolassa ja Espanjassa sekä Etelä-Afrikassa sijaitseva yliopisto.
Samaan aikaan uhkatoimija näyttää asteittain poistavan käytöstä vanhempia haittaohjelmaperheitä, kuten Trochilus ja 9002 RAT, ja ottavan käyttöön mukautettuja välityspalvelinkehyksiä ja tunnelointityökaluja. Ryhmään liittyviä muita apuohjelmia ovat iox, WormFrp, ChainWorm, SmuxProxy ja WormSocket. Tutkijat havaitsivat, että WormFrp hakee määritystietoja vaarantuneesta Amazon S3 -säiliöstä.
Nämä välityspalvelintyökalut on suunniteltu salaamaan tietoliikennettä ja tukemaan ketjutettuja yhteyksiä sisäisten ja ulkoisten järjestelmien välillä, jolloin hyökkääjät voivat reitittää liikennettä useiden isäntien kautta ja samalla peittää operatiivista toimintaa. Analyytikot uskovat, että näitä työkaluja yhdistetään usein SoftEther VPN:ään hyökkääjien liikkeiden peittämiseksi entisestään ja pysyvyyden parantamiseksi.
Discord-pohjainen komentotoiminta paljastaa operatiivisen mittakaavan
EchoCreepin käyttämän Discord-infrastruktuurin analyysi paljasti, että komentoliikenne on peräisin ainakin 21. maaliskuuta 2024. Tutkijat tunnistivat 433 viestiä, jotka oli lähetetty haitallisen Discord-pohjaisen C2-ympäristön kautta ja jotka vaikuttivat yli 50 ainutlaatuiseen kohteeseen.
Vaikka tarkka alkuperäinen käyttötapa on edelleen tuntematon, tutkijat havaitsivat, että Webworm-operaattorit käyttävät aktiivisesti avoimen lähdekoodin tiedustelu- ja hyväksikäyttötyökaluja, kuten dirsearch ja nucleics. Näitä apuohjelmia käytetään web-palvelinhakemistojen raa'alla voimalla murtautumiseen, alttiina olevien tiedostojen tunnistamiseen ja hyödynnettävien haavoittuvuuksien etsimiseen.
Heikko näyttö verkkomadon ja avaruuspiraattien yhdistämisestä
Tietyistä toiminnallisista yhtäläisyyksistä huolimatta tutkijat varoittavat, että Webwormin ja Space Pirates -ryppään välinen yhteys on edelleen epäselvä. Nykyinen päällekkäisyys näyttää rajoittuvan pääasiassa julkisesti saatavilla olevien RAT-työkalujen ja jaettujen työkalumallien käyttöön, eikä todisteita ole riittävästi kahden uhkaryhmän välisen lopullisen yhteyden osoittamiseksi.
