Webworm APT
Kiberdrošības pētnieki ir identificējuši atjaunotas operācijas, kas saistītas ar Ķīnas atbalstīto apdraudējumu grupu Webworm, izceļot sarežģītu pielāgotu aizmugurējo durvju izvietošanu, kas ļaunprātīgi izmanto Discord un Microsoft Graph API komandvadības un kontroles (C2) saziņai. Jaunākā aktivitāte atspoguļo plašāku grupas operatīvās stratēģijas attīstību, uzsverot slepenību, uz starpniekservera infrastruktūru un likumīgu platformu ļaunprātīgu izmantošanu, lai izvairītos no atklāšanas.
Satura rādītājs
Pastāvīgs drauds, kas vērsts pret kritiskām nozarēm
Tiek uzskatīts, ka grupa Webworm, kas pirmo reizi publiski dokumentēta 2022. gada septembrī, ir aktīva vismaz kopš tā gada. Grupa ir pastāvīgi uzbrukusi valdības iestādēm un uzņēmumiem, kas darbojas tādās nozarēs kā IT pakalpojumi, aviācija un elektroenerģijas nozare. Upuri ir identificēti visā Krievijā, Gruzijā, Mongolijā un vairākās Āzijas valstīs.
Šis apdraudējumu izpildītājs vēsturiski ir paļāvies uz attālās piekļuves Trojas zirgiem, tostarp Trochilus RAT, Gh0st RAT un 9002 RAT, kas pazīstams arī kā Hydraq vai McRat. Drošības analītiķi ir arī saistījuši grupas darbību ar vairākām ar Ķīnu saistītām klasteriem, tostarp FishMonger, SixLittleMonkeys un Space Pirates. Starp tiem SixLittleMonkeys piesaistīja uzmanību, izmantojot Gh0st RAT un Mikroceen ļaunprogrammatūru saimi pret organizācijām Centrālāzijā, Baltkrievijā, Krievijā un Mongolijā.
Pāreja uz slepenākām operācijām
Pēdējo divu gadu laikā Webworm ir pakāpeniski attālinājies no tradicionālajām ļaunprogrammatūru sistēmām, dodot priekšroku uz slepenību orientētām starpniekservera utilītprogrammām un daļēji likumīgiem tīkla rīkiem. Šķiet, ka šī pāreja ir paredzēta, lai samazinātu atklāšanas riskus, vienlaikus saglabājot pastāvīgu piekļuvi apdraudētās vidēs.
2025. gadā grupa savā arsenālā ieviesa divas jaunatklātas aizmugurējās durvis:
EchoCreep, kas izmanto Discord komandu un vadības darbībām un atbalsta failu pārsūtīšanu līdztekus attālinātai komandu izpildei, izmantojot cmd.exe.
GraphWorm — modernāks implants, kas sazinās, izmantojot Microsoft Graph API, un ļauj operatoriem izveidot jaunas cmd.exe sesijas, palaist procesus, augšupielādēt un lejupielādēt failus, izmantojot Microsoft OneDrive, un pārtraukt savu izpildi pēc operatora norādījumu saņemšanas.
Pētnieki arī novēroja GitHub repozitorija izmantošanu, kas maskējas kā WordPress atzars, lai mitinātu ļaunprogrammatūras lietderīgās slodzes un utilītprogrammas, piemēram, SoftEther VPN. Šī taktika ļauj ļaunprātīgai infrastruktūrai saplūst ar likumīgām izstrādes darbībām, sarežģot atklāšanas centienus. SoftEther VPN izmantošana atbilst metodēm, ko iepriekš izmantojušas vairākas Ķīnas kiberizlūkošanas grupas.
Ģeogrāfiskās sasniedzamības un starpniekservera infrastruktūras paplašināšana
Webworm nesenās kampaņas demonstrē arvien lielāku uzmanību Eiropas mērķiem, tostarp valdības organizācijām Beļģijā, Itālijā, Serbijā, Polijā un Spānijā, kā arī universitātei Dienvidāfrikā.
Vienlaikus šķiet, ka apdraudējuma izpildītājs pakāpeniski atsakās no vecākām ļaunprogrammatūru saimēm, piemēram, Trochilus un 9002 RAT, dodot priekšroku pielāgotiem starpniekservera ietvariem un tunelēšanas rīkiem. Papildu ar grupu saistītās utilītas ir iox, WormFrp, ChainWorm, SmuxProxy un WormSocket. Izmeklētāji atklāja, ka WormFrp izgūst konfigurācijas datus no kompromitēta Amazon S3 konteinera.
Šie starpniekservera rīki ir izstrādāti, lai šifrētu saziņu un atbalstītu ķēdes savienojumus starp iekšējām un ārējām sistēmām, ļaujot uzbrucējiem novirzīt datplūsmu caur vairākiem resursdatoriem, vienlaikus slēpjot operacionālās aktivitātes. Analītiķi uzskata, ka šie rīki bieži tiek apvienoti ar SoftEther VPN, lai vēl vairāk slēptu uzbrucēju kustības un uzlabotu noturību.
Uz nesaskaņām balstīta komandu aktivitāte atklāj operatīvo mērogu
EchoCreep izmantotās Discord infrastruktūras analīze atklāja, ka komandu datplūsma aizsākās vismaz 2024. gada 21. martā. Pētnieki identificēja 433 ziņojumus, kas tika pārsūtīti, izmantojot ļaunprātīgo Discord balstīto C2 vidi, ietekmējot vairāk nekā 50 unikālus mērķus.
Lai gan precīza sākotnējā piekļuves metode joprojām nav zināma, izmeklētāji atklāja, ka Webworm operatori aktīvi izmanto atvērtā pirmkoda izlūkošanas un ekspluatācijas rīkus, piemēram, dirsearch un nucleics. Šīs utilītas tiek izmantotas, lai veiktu brutālu piekļuvi tīmekļa serveru direktorijiem, identificētu neaizsargātus failus un skenētu izmantojamas ievainojamības.
Vāji pierādījumi, kas saista tīmekļa tārpu ar kosmosa pirātiem
Neskatoties uz dažām operacionālām līdzībām, pētnieki brīdina, ka saikne starp Webworm un Space Pirates klasteri joprojām nav pārliecinoša. Pašreizējā pārklāšanās galvenokārt aprobežojas ar publiski pieejamu RAT un koplietotu rīku modeļu izmantošanu, un nav pietiekamu pierādījumu, lai noteiktu konkrētu saistību starp abām draudu grupām.
