Webworm APT

साइबर सुरक्षा शोधकर्ताओं ने वेबवर्म नामक चीन समर्थित खतरे वाले समूह से जुड़े नए अभियानों की पहचान की है, जिसमें डिस्कोर्ड और माइक्रोसॉफ्ट ग्राफ एपीआई का दुरुपयोग करके कमांड-एंड-कंट्रोल (सी2) संचार के लिए परिष्कृत कस्टम बैकडोर की तैनाती पर प्रकाश डाला गया है। नवीनतम गतिविधि समूह की परिचालन रणनीति में व्यापक विकास को दर्शाती है, जिसमें गुप्तता, प्रॉक्सी-आधारित बुनियादी ढांचे और वैध प्लेटफार्मों के दुरुपयोग पर जोर दिया गया है ताकि पहचान से बचा जा सके।

महत्वपूर्ण क्षेत्रों को निशाना बनाने वाला एक निरंतर खतरा

वेबवर्म को पहली बार सितंबर 2022 में सार्वजनिक रूप से दर्ज किया गया था और माना जाता है कि यह कम से कम उसी वर्ष से सक्रिय है। इस समूह ने लगातार सरकारी संस्थानों और आईटी सेवाओं, एयरोस्पेस और विद्युत शक्ति जैसे क्षेत्रों में कार्यरत उद्यमों को निशाना बनाया है। रूस, जॉर्जिया, मंगोलिया और कई एशियाई देशों में इसके शिकार पाए गए हैं।

इस हमलावर समूह ने ऐतिहासिक रूप से ट्रोचिलस आरएटी, घोस्ट आरएटी और 9002 आरएटी (जिसे हाइड्राक या मैकरेट के नाम से भी जाना जाता है) जैसे रिमोट एक्सेस ट्रोजन का इस्तेमाल किया है। सुरक्षा विश्लेषकों ने इस समूह की गतिविधियों को फिशमोंगर, सिक्सलिटिलमंकीज़ और स्पेस पाइरेट्स जैसे चीन से जुड़े कई समूहों से भी जोड़ा है। इनमें से सिक्सलिटिलमंकीज़ ने मध्य एशिया, बेलारूस, रूस और मंगोलिया में संस्थाओं के खिलाफ घोस्ट आरएटी और माइक्रोसीन मैलवेयर परिवार का उपयोग करने के लिए ध्यान आकर्षित किया।

अधिक गुप्त अभियानों की ओर बदलाव

पिछले दो वर्षों में, वेबवर्म ने धीरे-धीरे पारंपरिक मैलवेयर फ्रेमवर्क से हटकर गुप्त रूप से काम करने वाली प्रॉक्सी यूटिलिटीज़ और अर्ध-वैध नेटवर्किंग टूल्स का उपयोग करना शुरू कर दिया है। ऐसा लगता है कि यह बदलाव असुरक्षित वातावरण में निरंतर पहुंच बनाए रखते हुए पता लगने के जोखिम को कम करने के लिए किया गया है।

2025 में, समूह ने अपने शस्त्रागार में दो नए पहचाने गए बैकडोर शामिल किए:

EchoCreep, जो कमांड और कंट्रोल ऑपरेशन के लिए Discord का उपयोग करता है और cmd.exe के माध्यम से रिमोट कमांड निष्पादन के साथ-साथ फ़ाइल स्थानांतरण का समर्थन करता है।
ग्राफवर्म एक अधिक उन्नत इम्प्लांट है जो माइक्रोसॉफ्ट ग्राफ एपीआई के माध्यम से संचार करता है और ऑपरेटरों को नए cmd.exe सत्र बनाने, प्रक्रियाओं को लॉन्च करने, माइक्रोसॉफ्ट वनड्राइव के माध्यम से फाइलों को अपलोड और डाउनलोड करने और ऑपरेटर के निर्देश प्राप्त होने पर अपने स्वयं के निष्पादन को समाप्त करने में सक्षम बनाता है।

शोधकर्ताओं ने यह भी पाया कि मैलवेयर पेलोड और सॉफ्टईथर वीपीएन जैसी यूटिलिटीज़ को होस्ट करने के लिए वर्डप्रेस फोर्क के रूप में छद्मवेश धारण किए गए गिटहब रिपॉजिटरी का उपयोग किया जा रहा था। यह रणनीति दुर्भावनापूर्ण बुनियादी ढांचे को वैध विकास गतिविधियों में घुलमिल जाने की अनुमति देती है, जिससे पता लगाना मुश्किल हो जाता है। सॉफ्टईथर वीपीएन का उपयोग कई चीनी साइबर जासूसी समूहों द्वारा पहले अपनाई गई विधियों के अनुरूप है।

भौगोलिक पहुंच और प्रॉक्सी बुनियादी ढांचे का विस्तार

वेबवर्म के हालिया अभियानों से पता चलता है कि उसका ध्यान यूरोपीय लक्ष्यों पर बढ़ता जा रहा है, जिनमें बेल्जियम, इटली, सर्बिया, पोलैंड और स्पेन के सरकारी संगठन, साथ ही दक्षिण अफ्रीका में स्थित एक विश्वविद्यालय शामिल हैं।

साथ ही, हमलावर समूह Trochilus और 9002 RAT जैसे पुराने मैलवेयर परिवारों को छोड़कर कस्टम प्रॉक्सी फ्रेमवर्क और टनलिंग टूल्स का इस्तेमाल कर रहा है। इस समूह से जुड़े अन्य टूल में iox, WormFrp, ChainWorm, SmuxProxy और WormSocket शामिल हैं। जांचकर्ताओं ने पाया कि WormFrp एक हैक किए गए Amazon S3 बकेट से कॉन्फ़िगरेशन डेटा प्राप्त करता है।

ये प्रॉक्सी टूल संचार को एन्क्रिप्ट करने और आंतरिक और बाहरी सिस्टमों में चेन कनेक्शन को सपोर्ट करने के लिए डिज़ाइन किए गए हैं, जिससे हमलावर अपनी परिचालन गतिविधि को छिपाते हुए कई होस्ट के माध्यम से ट्रैफ़िक को रूट कर सकते हैं। विश्लेषकों का मानना है कि हमलावरों की गतिविधियों को और अधिक छिपाने और उनकी निरंतरता को बढ़ाने के लिए इन टूल को अक्सर SoftEther VPN के साथ जोड़ा जाता है।

डिस्कोर्ड-आधारित कमांड गतिविधि से परिचालन पैमाने का पता चलता है

इकोक्रीप द्वारा उपयोग किए गए डिस्कोर्ड इंफ्रास्ट्रक्चर के विश्लेषण से पता चला कि कमांड ट्रैफिक कम से कम 21 मार्च, 2024 से मौजूद है। शोधकर्ताओं ने दुर्भावनापूर्ण डिस्कोर्ड-आधारित C2 वातावरण के माध्यम से प्रेषित 433 संदेशों की पहचान की, जिससे 50 से अधिक विशिष्ट लक्ष्य प्रभावित हुए।

हालांकि प्रारंभिक पहुंच का सटीक तरीका अभी तक अज्ञात है, जांचकर्ताओं ने पाया कि वेबवर्म ऑपरेटर dirsearch और nuclei जैसे ओपन-सोर्स जासूसी और शोषण उपकरणों का सक्रिय रूप से उपयोग करते हैं। इन उपकरणों का उपयोग वेब सर्वर निर्देशिकाओं पर ब्रूट-फोर्स हमले करने, उजागर फाइलों की पहचान करने और शोषण योग्य कमजोरियों की खोज करने के लिए किया जाता है।

वेबवर्म और अंतरिक्ष समुद्री डाकुओं के बीच संबंध स्थापित करने वाले कमजोर साक्ष्य

कुछ परिचालन संबंधी समानताओं के बावजूद, शोधकर्ताओं का मानना है कि वेबवर्म और स्पेस पाइरेट्स समूह के बीच संबंध अभी तक निर्णायक नहीं है। वर्तमान समानता मुख्य रूप से सार्वजनिक रूप से उपलब्ध आरएटी (RAT) के उपयोग और साझा टूलिंग पैटर्न तक ही सीमित प्रतीत होती है, और दोनों खतरा समूहों के बीच निश्चित संबंध स्थापित करने के लिए पर्याप्त सबूत नहीं हैं।