Webworm APT

חוקרי אבטחת סייבר זיהו פעולות מחודשות המקושרות לקבוצת האיומים המזוהה עם סין, המכונה Webworm, תוך הדגשת פריסת דלתות אחוריות מתוחכמות ומותאמות אישית, אשר מנצלות לרעה את Discord ואת ממשק ה-API של Microsoft Graph לתקשורת פיקוד ובקרה (C2). הפעילות האחרונה משקפת התפתחות רחבה יותר באסטרטגיה המבצעית של הקבוצה, תוך הדגשת התגנבות, תשתית מבוססת פרוקסי וניצול לרעה של פלטפורמות לגיטימיות כדי להתחמק מגילוי.

איום מתמשך המכוון למגזרים קריטיים

הקבוצה, שתועדה בפומבי לראשונה בספטמבר 2022, ככל הנראה פעילה לפחות מאותה שנה. הקבוצה כיוונה באופן עקבי למוסדות ממשלתיים וארגונים עסקיים הפועלים במגזרים כמו שירותי IT, תעופה וחלל ואנרגיה חשמלית. קורבנות זוהו ברחבי רוסיה, גאורגיה, מונגוליה ומספר מדינות אסייתיות.

גורם האיום הסתמך באופן היסטורי על טרויאנים בעלי גישה מרחוק, כולל Trochilus RAT, Gh0st RAT ו-9002 RAT, הידועים גם בשם Hydraq או McRat. אנליסטים של אבטחה קישרו גם את פעילות הקבוצה למספר אשכולות הקשורים לסין, כולל FishMonger, SixLittleMonkeys ו-Space Pirates. בין אלה, SixLittleMonkeys זכתה לתשומת לב בזכות השימוש ב-Gh0st RAT ובמשפחת הנוזקות Mikroceen נגד ישויות במרכז אסיה, בלארוס, רוסיה ומונגוליה.

מעבר לפעולות חשאיות

במהלך השנתיים האחרונות, Webworm התרחקה בהדרגה ממסגרות תוכנות זדוניות מסורתיות לטובת כלי פרוקסי מבוססי חשאיות וכלי רשת לגיטימיים למחצה. נראה כי המעבר נועד להפחית את סיכוני הגילוי תוך שמירה על גישה מתמשכת בתוך סביבות פרוצות.

בשנת 2025, הקבוצה הציגה שתי דלתות אחוריות חדשות שזוהו במאגר שלה:

EchoCreep, המשתמש ב-Discord לפעולות פיקוד ובקרה ותומך בהעברת קבצים לצד ביצוע פקודות מרחוק דרך cmd.exe.
GraphWorm, שתל מתקדם יותר שמתקשר דרך ממשק ה-API של Microsoft Graph ומאפשר למפעילים ליצור הפעלות cmd.exe חדשות, להפעיל תהליכים, להעלות ולהוריד קבצים דרך Microsoft OneDrive, ולסיים את הביצוע שלו עם קבלת הוראות מהמפעיל.

חוקרים הבחינו גם בשימוש במאגר GitHub המתחזה לפורק של וורדפרס לאירוח מטענים של תוכנות זדוניות ושירותים כגון SoftEther VPN. טקטיקה זו מאפשרת לתשתית זדונית להשתלב בפעילות פיתוח לגיטימית, מה שמסבך את מאמצי הגילוי. השימוש ב-SoftEther VPN תואם שיטות שאומצו בעבר על ידי מספר קבוצות ריגול סייבר סיניות.

הרחבת טווח גיאוגרפי ותשתית פרוקסי

הקמפיינים האחרונים של Webworm מדגימים התמקדות גוברת במטרות אירופאיות, כולל ארגונים ממשלתיים בבלגיה, איטליה, סרביה, פולין וספרד, כמו גם אוניברסיטה הממוקמת בדרום אפריקה.

במקביל, נראה כי גורם האיום מפסיק בהדרגה את פעילותו במשפחות תוכנות זדוניות ישנות יותר כמו Trochilus ו-9002 RAT לטובת מסגרות פרוקסי מותאמות אישית וכלי מנהור. כלי עזר נוספים הקשורים לקבוצה כוללים את iox, WormFrp, ChainWorm, SmuxProxy ו-WormSocket. חוקרים מצאו ש-WormFrp מאחזר נתוני תצורה מדלי Amazon S3 שנפגע.

כלי פרוקסי אלה מתוכננים להצפין תקשורת ולתמוך בחיבורים משורשרים בין מערכות פנימיות וחיצוניות, מה שמאפשר לתוקפים לנתב תעבורה דרך מספר מארחים תוך הסתרת פעילות תפעולית. אנליסטים מאמינים שכלים אלה משולבים לעתים קרובות עם SoftEther VPN כדי להסתיר עוד יותר את תנועות התוקפים ולשפר את העמידות.

פעילות פיקודית מבוססת דיסקורד חושפת קנה מידה מבצעי

ניתוח של תשתית Discord בה משתמש EchoCreep גילה כי תעבורת הפקודות מתוארכת לפחות ל-21 במרץ 2024. החוקרים זיהו 433 הודעות שהועברו דרך סביבת C2 הזדונית מבוססת Discord, ופגעו ביותר מ-50 מטרות ייחודיות.

למרות ששיטת הגישה הראשונית המדויקת נותרה לא ידועה, חוקרים גילו שמפעילי Webworm משתמשים באופן פעיל בכלי סיור וניצול בקוד פתוח כמו dirsearch ו-nucles. כלי עזר אלה משמשים לניצול תקלות בספריות שרת אינטרנט, זיהוי קבצים חשופים וסריקה אחר פגיעויות הניתנות לניצול.

ראיות חלשות המקשרות בין תולעת רשת לפיראטי חלל

למרות קווי דמיון מבצעיים מסוימים, חוקרים מזהירים כי הקשר בין תולעת הרשת (Webworm) לבין אשכול שודדי החלל נותר בלתי חד משמעי. החפיפה הנוכחית נראית מוגבלת בעיקר לשימוש במערכות RAT זמינות לציבור ובדפוסי כלים משותפים, ללא ראיות מספיקות כדי לבסס קשר חד משמעי בין שתי קבוצות האיום.