Webworm APT
Kiberbiztonsági kutatók azonosítottak a Kínához kötődő Webworm nevű fenyegetéscsoporthoz kapcsolódó megújult műveleteket, kiemelve a kifinomult, egyedi hátsó ajtók telepítését, amelyek a Discordot és a Microsoft Graph API-t használják a parancs- és irányítástechnikai (C2) kommunikációhoz. A legújabb tevékenység a csoport működési stratégiájának szélesebb körű fejlődését tükrözi, hangsúlyozva a lopakodást, a proxy-alapú infrastruktúrát és a legitim platformok visszaélésszerű használatát az észlelés elkerülése érdekében.
Tartalomjegyzék
Állandó fenyegetés a kritikus szektorok ellen
A Webwormról, amelyet először 2022 szeptemberében dokumentáltak nyilvánosan, úgy vélik, hogy legalább azóta aktív. A csoport következetesen kormányzati intézményeket és olyan ágazatokban működő vállalati szervezeteket vett célba, mint az IT-szolgáltatások, a repülőgépipar és az elektromos energia. Áldozatokat azonosítottak Oroszországban, Grúziában, Mongóliában és számos ázsiai országban.
A fenyegető szereplő történelmileg távoli hozzáférésű trójai vírusokra támaszkodott, beleértve a Trochilus RAT-ot, a Gh0st RAT-ot és a 9002 RAT-ot, más néven Hydraq-ot vagy McRat-et. Biztonsági elemzők a csoport tevékenységét számos Kínával kapcsolatos klaszterhez is összefüggésbe hozták, köztük a FishMongerhez, a SixLittleMonkeys-hoz és a Space Pirates-hez. Ezek közül a SixLittleMonkeys azzal hívta fel magára a figyelmet, hogy a Gh0st RAT-ot és a Mikroceen rosszindulatú programcsaládot használta közép-ázsiai, fehéroroszországi, oroszországi és mongóliai szervezetek ellen.
Elmozdulás a lopakodóbb műveletek felé
Az elmúlt két évben a Webworm fokozatosan eltávolodott a hagyományos kártevő-keretrendszerektől a lopakodó proxy segédprogramok és a félig legitim hálózati eszközök javára. Úgy tűnik, az átállás célja az észlelési kockázatok csökkentése, miközben a veszélyeztetett környezetekben is fenntartja az állandó hozzáférést.
2025-ben a csoport két újonnan azonosított hátsó ajtót vezetett be az arzenáljába:
Az EchoCreep, amely a Discordot használja parancs- és vezérlési műveletekhez, és támogatja a fájlátvitelt a távoli parancsfuttatás mellett a cmd.exe-n keresztül.
A GraphWorm egy fejlettebb implantátum, amely a Microsoft Graph API-n keresztül kommunikál, és lehetővé teszi az operátorok számára új cmd.exe munkamenetek létrehozását, folyamatok indítását, fájlok feltöltését és letöltését a Microsoft OneDrive-on keresztül, valamint saját végrehajtásának leállítását az operátori utasítások fogadása után.
A kutatók azt is megfigyelték, hogy egy WordPress forknak álcázott GitHub adattárat használnak rosszindulatú programok hasznos adatainak és segédprogramoknak, például a SoftEther VPN-nek a tárolására. Ez a taktika lehetővé teszi, hogy a rosszindulatú infrastruktúra beolvadjon a legitim fejlesztési tevékenységbe, ami bonyolítja az észlelési erőfeszítéseket. A SoftEther VPN használata összhangban van a korábban több kínai kiberkémkedési csoport által alkalmazott módszerekkel.
A földrajzi elérés és a proxy infrastruktúra bővítése
A Webworm legutóbbi kampányai egyre nagyobb hangsúlyt fektetnek európai célpontokra, beleértve a belga, olasz, szerb, lengyel és spanyol kormányzati szervezeteket, valamint egy dél-afrikai egyetemet.
Ugyanakkor úgy tűnik, hogy a fenyegetés szereplője fokozatosan kivezeti a régebbi kártevőcsaládokat, mint például a Trochilus és a 9002 RAT, az egyéni proxy keretrendszerek és alagútkezelő eszközök javára. A csoporthoz kapcsolódó további segédprogramok közé tartozik az iox, a WormFrp, a ChainWorm, a SmuxProxy és a WormSocket. A nyomozók megállapították, hogy a WormFrp egy feltört Amazon S3 tárolóból kér le konfigurációs adatokat.
Ezek a proxy eszközök úgy lettek kialakítva, hogy titkosítsák a kommunikációt és támogassák a belső és külső rendszerek közötti láncolt kapcsolatokat, lehetővé téve a támadók számára, hogy több gazdagépen keresztül irányítsák a forgalmat, miközben elrejtik a működési tevékenységet. Az elemzők úgy vélik, hogy ezeket az eszközöket gyakran kombinálják a SoftEther VPN-nel, hogy tovább titkolják a támadók mozgását és javítsák a támadások tartósságát.
A Discord-alapú parancsnoki tevékenység feltárja a működési léptéket
Az EchoCreep által használt Discord infrastruktúra elemzése kimutatta, hogy a parancsforgalom legalább 2024. március 21-ig nyúlik vissza. A kutatók 433 üzenetet azonosítottak a rosszindulatú Discord-alapú C2 környezeten keresztül, amelyek több mint 50 egyedi célpontot érintettek.
Bár a pontos kezdeti hozzáférési módszer továbbra sem ismert, a nyomozók felfedezték, hogy a Webworm üzemeltetői aktívan használnak nyílt forráskódú felderítő és kihasználó eszközöket, mint például a dirsearch és a nucleus. Ezeket a segédprogramokat webszerver-könyvtárak brute-force támadásaira, a kitett fájlok azonosítására és a kihasználható sebezhetőségek keresésére használják.
Gyenge bizonyítékok a webféreg és az űrkalózok közötti kapcsolatra
Bizonyos működési hasonlóságok ellenére a kutatók óvatosságra intenek, mivel a Webworm és a Space Pirates klaszter közötti kapcsolat továbbra sem egyértelmű. A jelenlegi átfedés elsősorban a nyilvánosan elérhető RAT-ok és a megosztott eszközminták használatára korlátozódik, és nincs elegendő bizonyíték a két fenyegetéscsoport közötti egyértelmű kapcsolat megállapítására.
