Webworm APT
Istraživači kibernetičke sigurnosti identificirali su obnovljene operacije povezane s kineskom prijetećom skupinom poznatom kao Webworm, ističući primjenu sofisticiranih prilagođenih stražnjih vrata koja zloupotrebljavaju Discord i Microsoft Graph API za komunikaciju Command-and-Control (C2). Najnovija aktivnost odražava širu evoluciju u operativnoj strategiji skupine, s naglaskom na prikrivenosti, infrastrukturi temeljenoj na proxyjima i zlouporabi legitimnih platformi za izbjegavanje otkrivanja.
Sadržaj
Stalna prijetnja usmjerena na kritične sektore
Javno prvi put dokumentiran u rujnu 2022., vjeruje se da je Webworm aktivan barem od te godine. Skupina je dosljedno ciljala vladine institucije i poslovne organizacije koje posluju u sektorima kao što su IT usluge, zrakoplovstvo i elektroenergetika. Žrtve su identificirane diljem Rusije, Gruzije, Mongolije i nekoliko azijskih zemalja.
Prijetnja se povijesno oslanjala na trojance za udaljeni pristup, uključujući Trochilus RAT, Gh0st RAT i 9002 RAT, poznat i kao Hydraq ili McRat. Sigurnosni analitičari također su povezali aktivnost grupe s nekoliko klastera povezanih s Kinom, uključujući FishMonger, SixLittleMonkeys i Space Pirates. Među njima, SixLittleMonkeys privukao je pozornost zbog korištenja Gh0st RAT-a i obitelji zlonamjernog softvera Mikroceen protiv subjekata u Srednjoj Aziji, Bjelorusiji, Rusiji i Mongoliji.
Prelazak na prikrivenije operacije
Tijekom protekle dvije godine, Webworm se postupno udaljio od tradicionalnih okvira za zlonamjerni softver u korist prikrivenih proxy alata i polulegitimnih mrežnih alata. Čini se da je prijelaz osmišljen kako bi se smanjili rizici otkrivanja uz održavanje trajnog pristupa unutar kompromitiranih okruženja.
Godine 2025. grupa je u svoj arsenal uvela dva novootkrivena stražnja vrata:
EchoCreep, koji koristi Discord za operacije naredbi i upravljanja te podržava prijenos datoteka uz udaljeno izvršavanje naredbi putem cmd.exe.
GraphWorm, napredniji implantat koji komunicira putem Microsoft Graph API-ja i omogućuje operaterima stvaranje novih cmd.exe sesija, pokretanje procesa, prijenos i preuzimanje datoteka putem Microsoft OneDrivea te prekid vlastitog izvršavanja nakon primanja uputa operatera.
Istraživači su također primijetili korištenje GitHub repozitorija maskiranog kao WordPress fork za hostiranje zlonamjernog softvera i uslužnih programa poput SoftEther VPN-a. Ova taktika omogućuje zlonamjernoj infrastrukturi da se uklopi u legitimne razvojne aktivnosti, što komplicira napore otkrivanja. Korištenje SoftEther VPN-a u skladu je s metodama koje su prethodno usvojile brojne kineske skupine za kibernetičku špijunažu.
Proširenje geografskog dosega i proxy infrastrukture
Nedavne kampanje Webworm-a pokazuju sve veći fokus na europske ciljeve, uključujući vladine organizacije u Belgiji, Italiji, Srbiji, Poljskoj i Španjolskoj, kao i sveučilište smješteno u Južnoj Africi.
Istovremeno, čini se da napadač postupno ukida starije obitelji zlonamjernog softvera poput Trochilusa i 9002 RAT-a u korist prilagođenih proxy okvira i alata za tuneliranje. Dodatni uslužni programi povezani s grupom uključuju iox, WormFrp, ChainWorm, SmuxProxy i WormSocket. Istražitelji su otkrili da WormFrp dohvaća konfiguracijske podatke iz kompromitiranog Amazon S3 spremnika.
Ovi proxy alati su dizajnirani za šifriranje komunikacije i podršku ulančanim vezama između internih i eksternih sustava, omogućujući napadačima usmjeravanje prometa kroz više hostova uz prikrivanje operativnih aktivnosti. Analitičari vjeruju da se ovi alati često kombiniraju sa SoftEther VPN-om kako bi se dodatno prikrilo kretanje napadača i poboljšala postojanost.
Aktivnost zapovjedništva temeljena na Discordu otkriva operativne razmjere
Analiza Discord infrastrukture koju koristi EchoCreep otkrila je da promet naredbi datira najmanje od 21. ožujka 2024. Istraživači su identificirali 433 poruke poslane putem zlonamjernog C2 okruženja temeljenog na Discordu, koje su utjecale na više od 50 jedinstvenih ciljeva.
Iako je točna metoda početnog pristupa još uvijek nepoznata, istražitelji su otkrili da operateri Webworm-a aktivno koriste alate otvorenog koda za izviđanje i iskorištavanje podataka kao što su dirsearch i nuclei. Ovi se uslužni programi koriste za brute force pristup direktorijima web poslužitelja, identificiranje izloženih datoteka i skeniranje ranjivosti koje se mogu iskoristiti.
Slabi dokazi koji povezuju webworm sa svemirskim piratima
Unatoč određenim operativnim sličnostima, istraživači upozoravaju da veza između Webworm-a i klastera Space Pirates ostaje nejasna. Čini se da je trenutno preklapanje prvenstveno ograničeno na korištenje javno dostupnih RAT-ova i dijeljenih obrazaca alata, s nedovoljno dokaza za utvrđivanje konačne veze između dvije skupine prijetnji.
