Webworm APT
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណប្រតិបត្តិការថ្មីដែលភ្ជាប់ទៅនឹងក្រុមគំរាមកំហែងដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិន ដែលគេស្គាល់ថា Webworm ដោយបានបង្ហាញពីការដាក់ពង្រាយទ្វារខាងក្រោយផ្ទាល់ខ្លួនដ៏ទំនើបដែលរំលោភបំពាន Discord និង Microsoft Graph API សម្រាប់ការទំនាក់ទំនង Command-and-Control (C2)។ សកម្មភាពចុងក្រោយបំផុតឆ្លុះបញ្ចាំងពីការវិវត្តន៍កាន់តែទូលំទូលាយនៅក្នុងយុទ្ធសាស្ត្រប្រតិបត្តិការរបស់ក្រុម ដោយសង្កត់ធ្ងន់លើការលួចលាក់ ហេដ្ឋារចនាសម្ព័ន្ធផ្អែកលើប្រូកស៊ី និងការប្រើប្រាស់វេទិកាស្របច្បាប់ខុសដើម្បីគេចពីការរកឃើញ។
តារាងមាតិកា
ការគំរាមកំហែងជាប់លាប់ដែលកំណត់គោលដៅលើវិស័យសំខាន់ៗ
មេរោគ Webworm ដែលត្រូវបានចងក្រងជាឯកសារជាសាធារណៈជាលើកដំបូងនៅក្នុងខែកញ្ញា ឆ្នាំ២០២២ ត្រូវបានគេជឿថាបានធ្វើសកម្មភាពចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំនោះ។ ក្រុមនេះតែងតែកំណត់គោលដៅលើស្ថាប័នរដ្ឋាភិបាល និងអង្គការសហគ្រាសដែលប្រតិបត្តិការក្នុងវិស័យដូចជាសេវាកម្មព័ត៌មានវិទ្យា អាកាសចរណ៍ និងថាមពលអគ្គិសនី។ ជនរងគ្រោះត្រូវបានកំណត់អត្តសញ្ញាណនៅទូទាំងប្រទេសរុស្ស៊ី ហ្សកហ្ស៊ី ម៉ុងហ្គោលី និងប្រទេសអាស៊ីមួយចំនួន។
ភ្នាក់ងារគំរាមកំហែងនេះធ្លាប់ពឹងផ្អែកលើមេរោគ Trojan ចូលប្រើពីចម្ងាយ រួមមាន Trochilus RAT, Gh0st RAT និង 9002 RAT ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Hydraq ឬ McRat។ អ្នកវិភាគសន្តិសុខក៏បានភ្ជាប់សកម្មភាពរបស់ក្រុមនេះទៅនឹងចង្កោមមេរោគជាច្រើនដែលជាប់ពាក់ព័ន្ធនឹងប្រទេសចិន រួមមាន FishMonger, SixLittleMonkeys និង Space Pirates។ ក្នុងចំណោមទាំងនេះ SixLittleMonkeys ទទួលបានការចាប់អារម្មណ៍ចំពោះការប្រើប្រាស់មេរោគ Gh0st RAT និងក្រុមគ្រួសារមេរោគ Mikroceen ប្រឆាំងនឹងអង្គភាពនៅអាស៊ីកណ្តាល បេឡារុស្ស រុស្ស៊ី និងម៉ុងហ្គោលី។
ការផ្លាស់ប្តូរឆ្ពោះទៅរកប្រតិបត្តិការលួចលាក់
ក្នុងរយៈពេលពីរឆ្នាំកន្លងមកនេះ Webworm បានផ្លាស់ប្តូរបន្តិចម្តងៗពីក្របខ័ណ្ឌមេរោគប្រពៃណី ដោយងាកមកប្រើប្រាស់ឧបករណ៍ប្រូកស៊ីដែលផ្តោតលើការលួចលាក់ និងឧបករណ៍បណ្តាញពាក់កណ្តាលស្របច្បាប់។ ការផ្លាស់ប្តូរនេះហាក់ដូចជាត្រូវបានរចនាឡើងដើម្បីកាត់បន្ថយហានិភ័យនៃការរកឃើញ ខណៈពេលដែលរក្សាការចូលប្រើជាប់លាប់នៅក្នុងបរិស្ថានដែលរងការគំរាមកំហែង។
នៅឆ្នាំ ២០២៥ ក្រុមនេះបានណែនាំច្រកចូលខាងក្រោយថ្មីចំនួនពីរដែលទើបកំណត់អត្តសញ្ញាណថ្មីទៅក្នុងឃ្លាំងអាវុធរបស់ខ្លួន៖
EchoCreep ដែលទាញយកអត្ថប្រយោជន៍ពី Discord សម្រាប់ប្រតិបត្តិការបញ្ជា និងត្រួតពិនិត្យ និងគាំទ្រការផ្ទេរឯកសារ រួមជាមួយនឹងការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយតាមរយៈ cmd.exe។
GraphWorm ដែលជាការផ្សាំកម្រិតខ្ពស់ជាងមុន ដែលទំនាក់ទំនងតាមរយៈ Microsoft Graph API និងអនុញ្ញាតឱ្យប្រតិបត្តិករបង្កើតវគ្គ cmd.exe ថ្មី បើកដំណើរការដំណើរការ ផ្ទុកឡើង និងទាញយកឯកសារតាមរយៈ Microsoft OneDrive និងបញ្ចប់ការប្រតិបត្តិរបស់វានៅពេលទទួលបានការណែនាំពីប្រតិបត្តិករ។
ក្រុមអ្នកស្រាវជ្រាវក៏បានសង្កេតឃើញការប្រើប្រាស់ឃ្លាំង GitHub ដែលក្លែងបន្លំជា WordPress fork ដើម្បីបង្ហោះបន្ទុកមេរោគ និងឧបករណ៍ប្រើប្រាស់ដូចជា SoftEther VPN។ យុទ្ធសាស្ត្រនេះអនុញ្ញាតឱ្យហេដ្ឋារចនាសម្ព័ន្ធព្យាបាទលាយបញ្ចូលគ្នាទៅក្នុងសកម្មភាពអភិវឌ្ឍន៍ស្របច្បាប់ ដែលធ្វើឱ្យស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងរកឃើញ។ ការប្រើប្រាស់ SoftEther VPN ស្របនឹងវិធីសាស្ត្រដែលធ្លាប់ត្រូវបានអនុម័តដោយក្រុមចារកម្មតាមអ៊ីនធឺណិតចិនជាច្រើន។
ការពង្រីកវិសាលភាពភូមិសាស្ត្រ និងហេដ្ឋារចនាសម្ព័ន្ធប្រូកស៊ី
យុទ្ធនាការថ្មីៗរបស់ Webworm បង្ហាញពីការផ្តោតការយកចិត្តទុកដាក់កាន់តែខ្លាំងឡើងលើគោលដៅអឺរ៉ុប រួមទាំងអង្គការរដ្ឋាភិបាលនៅប្រទេសបែលហ្ស៊ិក អ៊ីតាលី ស៊ែប៊ី ប៉ូឡូញ និងអេស្ប៉ាញ ក៏ដូចជាសាកលវិទ្យាល័យមួយដែលមានទីតាំងនៅអាហ្វ្រិកខាងត្បូង។
ក្នុងពេលជាមួយគ្នានេះ ភ្នាក់ងារគំរាមកំហែងហាក់ដូចជាកំពុងលុបចោលមេរោគចាស់ៗដូចជា Trochilus និង 9002 RAT ដោយងាកមកប្រើប្រាស់ក្របខ័ណ្ឌប្រូកស៊ីផ្ទាល់ខ្លួន និងឧបករណ៍ tunneling។ ឧបករណ៍ប្រើប្រាស់បន្ថែមដែលជាប់ទាក់ទងនឹងក្រុមនេះរួមមាន iox, WormFrp, ChainWorm, SmuxProxy និង WormSocket។ អ្នកស៊ើបអង្កេតបានរកឃើញថា WormFrp ទាញយកទិន្នន័យកំណត់រចនាសម្ព័ន្ធពីធុង Amazon S3 ដែលរងការសម្របសម្រួល។
ឧបករណ៍ប្រូកស៊ីទាំងនេះត្រូវបានរចនាឡើងដើម្បីអ៊ិនគ្រីបការទំនាក់ទំនង និងគាំទ្រការតភ្ជាប់ច្រវាក់ឆ្លងកាត់ប្រព័ន្ធខាងក្នុង និងខាងក្រៅ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារបញ្ជូនចរាចរណ៍តាមរយៈម៉ាស៊ីនច្រើន ខណៈពេលដែលលាក់បាំងសកម្មភាពប្រតិបត្តិការ។ អ្នកវិភាគជឿថាឧបករណ៍ទាំងនេះត្រូវបានផ្សំជាញឹកញាប់ជាមួយ SoftEther VPN ដើម្បីបិទបាំងចលនារបស់អ្នកវាយប្រហារបន្ថែមទៀត និងបង្កើនប្រសិទ្ធភាពនៃការតស៊ូ។
សកម្មភាពបញ្ជាការផ្អែកលើ Discord បង្ហាញពីមាត្រដ្ឋានប្រតិបត្តិការ
ការវិភាគលើហេដ្ឋារចនាសម្ព័ន្ធ Discord ដែលប្រើប្រាស់ដោយ EchoCreep បានបង្ហាញថា ចរាចរណ៍ពាក្យបញ្ជាមានតាំងពីយ៉ាងហោចណាស់ថ្ងៃទី 21 ខែមីនា ឆ្នាំ 2024។ អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណសារចំនួន 433 ដែលបានបញ្ជូនតាមរយៈបរិស្ថាន C2 ដែលមានមូលដ្ឋានលើ Discord ដែលបង្កគ្រោះថ្នាក់ ដែលប៉ះពាល់ដល់គោលដៅតែមួយគត់ជាង 50។
ទោះបីជាវិធីសាស្ត្រចូលប្រើដំបូងពិតប្រាកដនៅមិនទាន់ដឹងក៏ដោយ ក៏អ្នកស៊ើបអង្កេតបានរកឃើញថា ប្រតិបត្តិករ Webworm ប្រើប្រាស់ឧបករណ៍ឈ្លបយកការណ៍ និងឧបករណ៍កេងប្រវ័ញ្ចប្រភពបើកចំហដូចជា dirsearch និង nuclei យ៉ាងសកម្ម។ ឧបករណ៍ប្រើប្រាស់ទាំងនេះត្រូវបានប្រើដើម្បីបង្ខំថតឯកសារម៉ាស៊ីនបម្រើគេហទំព័រ កំណត់អត្តសញ្ញាណឯកសារដែលលាតត្រដាង និងស្កេនរកភាពងាយរងគ្រោះដែលអាចកេងប្រវ័ញ្ចបាន។
ភស្តុតាងខ្សោយដែលភ្ជាប់ Webworm ទៅនឹងចោរសមុទ្រអវកាស
ទោះបីជាមានភាពស្រដៀងគ្នានៃប្រតិបត្តិការមួយចំនួនក៏ដោយ អ្នកស្រាវជ្រាវបានព្រមានថា ការតភ្ជាប់រវាង Webworm និងចង្កោម Space Pirates នៅតែមិនច្បាស់លាស់។ ការត្រួតស៊ីគ្នាបច្ចុប្បន្នហាក់ដូចជាមានកម្រិតជាចម្បងចំពោះការប្រើប្រាស់ RATs ដែលមានជាសាធារណៈ និងគំរូឧបករណ៍ដែលបានចែករំលែក ដោយគ្មានភស្តុតាងគ្រប់គ្រាន់ដើម្បីបង្កើតទំនាក់ទំនងច្បាស់លាស់រវាងក្រុមគំរាមកំហែងទាំងពីរ។
