Webworm APT
Kibernetinio saugumo tyrėjai nustatė atnaujintas operacijas, susijusias su Kinijos remiama grėsmių grupe „Webworm“, pabrėždami sudėtingų, pritaikytų užpakalinių durų, kurios piktnaudžiauja „Discord“ ir „Microsoft Graph API“, skirtos komandų ir kontrolės (C2) ryšiui, diegimą. Naujausia veikla atspindi platesnę grupės veiklos strategijos evoliuciją, pabrėžiant slaptą veikimą, tarpinio serverio pagrindu veikiančią infrastruktūrą ir teisėtų platformų piktnaudžiavimą siekiant išvengti aptikimo.
Turinys
Nuolatinė grėsmė, nukreipta į svarbiausius sektorius
Pirmą kartą viešai dokumentuota 2022 m. rugsėjį, manoma, kad „Webworm“ veikė bent nuo tų metų. Grupė nuolat taikydavosi į vyriausybines institucijas ir verslo organizacijas, veikiančias tokiuose sektoriuose kaip IT paslaugos, aviacija ir kosmosas bei elektros energija. Aukos buvo identifikuotos visoje Rusijoje, Gruzijoje, Mongolijoje ir keliose Azijos šalyse.
Šis kenkėjiškų programų kūrėjas istoriškai naudojo nuotolinės prieigos Trojos arklius, įskaitant „Trochilus RAT“, „Gh0st RAT“ ir „9002 RAT“, dar žinomus kaip „Hydraq“ arba „McRat“. Saugumo analitikai grupės veiklą taip pat siejo su keliomis su Kinija susijusiomis grupuotėmis, įskaitant „FishMonger“, „SixLittleMonkeys“ ir „Space Pirates“. Tarp jų „SixLittleMonkeys“ sulaukė dėmesio dėl to, kad naudojo „Gh0st RAT“ ir „Mikroceen“ kenkėjiškų programų šeimą prieš subjektus Vidurinėje Azijoje, Baltarusijoje, Rusijoje ir Mongolijoje.
Perėjimas prie slaptesnių operacijų
Per pastaruosius dvejus metus „Webworm“ palaipsniui atsisakė tradicinių kenkėjiškų programų sistemų ir pirmenybę teikė slaptoms tarpinio serverio paslaugoms ir pusiau teisėtiems tinklo įrankiams. Atrodo, kad šis perėjimas skirtas sumažinti aptikimo riziką, kartu išlaikant nuolatinę prieigą pažeistoje aplinkoje.
2025 m. grupė į savo arsenalą įtraukė du naujai identifikuotus slaptus įrankius:
„EchoCreep“, kuri naudoja „Discord“ komandų ir valdymo operacijoms ir palaiko failų perdavimą kartu su nuotoliniu komandų vykdymu per cmd.exe.
„GraphWorm“ – pažangesnis implantas, bendraujantis per „Microsoft Graph API“ ir leidžiantis operatoriams kurti naujus cmd.exe seansus, paleisti procesus, įkelti ir atsisiųsti failus per „Microsoft OneDrive“ ir nutraukti savo vykdymą gavus operatoriaus nurodymus.
Tyrėjai taip pat pastebėjo, kad „GitHub“ saugykla, maskuojama kaip „WordPress“ atšaka, naudojama kenkėjiškų programų paketams ir tokioms programoms kaip „SoftEther VPN“ talpinti. Ši taktika leidžia kenkėjiškai infrastruktūrai įsilieti į teisėtą kūrimo veiklą, o tai apsunkina aptikimo pastangas. „SoftEther VPN“ naudojimas atitinka metodus, kuriuos anksčiau taikė kelios Kinijos kibernetinio šnipinėjimo grupuotės.
Geografinės aprėpties ir tarpinio serverio infrastruktūros plėtra
Pastaruoju metu „Webworm“ kampanijos rodo vis didesnį dėmesį Europos taikiniams, įskaitant vyriausybines organizacijas Belgijoje, Italijoje, Serbijoje, Lenkijoje ir Ispanijoje, taip pat Pietų Afrikoje esantį universitetą.
Tuo pačiu metu, atrodo, kad grėsmės kūrėjas palaipsniui atsisako senesnių kenkėjiškų programų šeimų, tokių kaip „Trochilus“ ir „9002 RAT“, ir pirmenybę teikia pritaikytoms tarpinio serverio struktūroms bei tuneliavimo įrankiams. Papildomos su grupe susijusios programos yra „iox“, „WormFrp“, „ChainWorm“, „SmuxProxy“ ir „WormSocket“. Tyrėjai nustatė, kad „WormFrp“ nuskaito konfigūracijos duomenis iš pažeisto „Amazon S3“ saugyklos.
Šie tarpinio serverio įrankiai sukurti taip, kad šifruotų ryšius ir palaikytų grandininius ryšius tarp vidinių ir išorinių sistemų, leisdami užpuolikams nukreipti srautą per kelis pagrindinius kompiuterius, tuo pačiu slepiant operacinę veiklą. Analitikai mano, kad šie įrankiai dažnai derinami su „SoftEther VPN“, siekiant dar labiau užmaskuoti užpuolikų judėjimą ir pagerinti jų atsparumą.
„Discord“ pagrindu veikianti vadovavimo veikla atskleidžia operacinį mastą
„EchoCreep“ naudojamos „Discord“ infrastruktūros analizė parodė, kad komandų srautas buvo vykdomas mažiausiai nuo 2024 m. kovo 21 d. Tyrėjai nustatė 433 pranešimus, perduotus per kenkėjišką „Discord“ pagrindu sukurtą C2 aplinką, kurie paveikė daugiau nei 50 unikalių taikinių.
Nors tikslus pradinis prieigos metodas nežinomas, tyrėjai nustatė, kad „Webworm“ operatoriai aktyviai naudoja atvirojo kodo žvalgybos ir išnaudojimo įrankius, tokius kaip „dirsearch“ ir „nucleus“. Šios priemonės naudojamos žiniatinklio serverių katalogams brutalios jėgos būdu pasiekti, pažeidžiamiems failams identifikuoti ir pažeidžiamumams, kuriais galima pasinaudoti, nuskaityti.
Silpni įrodymai, siejantys žiniatinklio kirminą su kosmoso piratais
Nepaisant tam tikrų operacinių panašumų, tyrėjai įspėja, kad ryšys tarp „Webworm“ ir „Space Pirates“ klasterio lieka neaiškus. Dabartinis sutapimas, regis, daugiausia apsiriboja viešai prieinamų RAT ir bendrų įrankių modelių naudojimu, o nepakanka įrodymų, kad būtų galima nustatyti galutinį ryšį tarp šių dviejų grėsmių grupių.
