APT Webworm
Penyelidik keselamatan siber telah mengenal pasti operasi baharu yang dikaitkan dengan kumpulan ancaman yang sehaluan dengan China yang dikenali sebagai Webworm, yang mengetengahkan penggunaan pintu belakang tersuai yang canggih yang menyalahgunakan Discord dan Microsoft Graph API untuk komunikasi Perintah dan Kawalan (C2). Aktiviti terkini mencerminkan evolusi yang lebih luas dalam strategi operasi kumpulan itu, menekankan infrastruktur berasaskan proksi yang tersembunyi dan penyalahgunaan platform yang sah untuk mengelak pengesanan.
Isi kandungan
Ancaman Berterusan yang Menyasarkan Sektor Kritikal
Didokumentasikan secara terbuka buat kali pertama pada September 2022, Webworm dipercayai telah aktif sekurang-kurangnya sejak tahun itu. Kumpulan ini secara konsisten menyasarkan institusi kerajaan dan organisasi perusahaan yang beroperasi dalam sektor seperti perkhidmatan IT, aeroangkasa dan kuasa elektrik. Mangsa telah dikenal pasti di seluruh Rusia, Georgia, Mongolia dan beberapa negara Asia.
Aktor ancaman ini secara sejarahnya bergantung pada trojan akses jauh termasuk Trochilus RAT, Gh0st RAT dan 9002 RAT, juga dikenali sebagai Hydraq atau McRat. Penganalisis keselamatan juga telah mengaitkan aktiviti kumpulan itu dengan beberapa kluster yang berkaitan dengan China, termasuk FishMonger, SixLittleMonkeys dan Space Pirates. Antaranya, SixLittleMonkeys mendapat perhatian kerana menggunakan Gh0st RAT dan keluarga perisian hasad Mikroceen terhadap entiti di Asia Tengah, Belarus, Rusia dan Mongolia.
Peralihan Ke Arah Operasi yang Lebih Tersembunyi
Sepanjang dua tahun yang lalu, Webworm secara beransur-ansur telah beralih daripada rangka kerja perisian hasad tradisional dan beralih kepada utiliti proksi berorientasikan senyap dan alat rangkaian separa sah. Peralihan ini nampaknya direka untuk mengurangkan risiko pengesanan sambil mengekalkan akses berterusan dalam persekitaran yang terjejas.
Pada tahun 2025, kumpulan itu memperkenalkan dua pintu belakang yang baru dikenal pasti ke dalam senjata mereka:
EchoCreep, yang memanfaatkan Discord untuk operasi arahan dan kawalan dan menyokong pemindahan fail di samping pelaksanaan arahan jauh melalui cmd.exe.
GraphWorm, implan yang lebih canggih yang berkomunikasi melalui Microsoft Graph API dan membolehkan pengendali mencipta sesi cmd.exe baharu, melancarkan proses, memuat naik dan memuat turun fail melalui Microsoft OneDrive dan menamatkan pelaksanaannya sendiri setelah menerima arahan pengendali.
Para penyelidik juga memerhatikan penggunaan repositori GitHub yang menyamar sebagai fork WordPress untuk mengehos muatan dan utiliti perisian hasad seperti SoftEther VPN. Taktik ini membolehkan infrastruktur berniat jahat bercampur dengan aktiviti pembangunan yang sah, sekali gus merumitkan usaha pengesanan. Penggunaan SoftEther VPN sejajar dengan kaedah yang sebelum ini diguna pakai oleh pelbagai kumpulan pengintipan siber China.
Memperluas Jangkauan Geografi dan Infrastruktur Proksi
Kempen Webworm baru-baru ini menunjukkan tumpuan yang semakin meningkat terhadap sasaran Eropah, termasuk organisasi kerajaan di Belgium, Itali, Serbia, Poland dan Sepanyol, serta sebuah universiti yang terletak di Afrika Selatan.
Pada masa yang sama, pelaku ancaman itu nampaknya sedang menghapuskan keluarga perisian hasad lama seperti Trochilus dan 9002 RAT dan beralih kepada rangka kerja proksi tersuai dan alat terowong. Utiliti tambahan yang berkaitan dengan kumpulan itu termasuk iox, WormFrp, ChainWorm, SmuxProxy dan WormSocket. Penyiasat mendapati bahawa WormFrp mengambil data konfigurasi daripada baldi Amazon S3 yang dikompromi.
Alat proksi ini direka bentuk untuk menyulitkan komunikasi dan menyokong sambungan berantai merentasi sistem dalaman dan luaran, membolehkan penyerang menghalakan trafik melalui berbilang hos sambil menyembunyikan aktiviti operasi. Penganalisis percaya alat ini kerap digabungkan dengan SoftEther VPN untuk mengaburkan lagi pergerakan penyerang dan meningkatkan ketekunan.
Aktiviti Perintah Berasaskan Discord Mendedahkan Skala Operasi
Analisis infrastruktur Discord yang digunakan oleh EchoCreep mendedahkan bahawa trafik arahan bermula sekurang-kurangnya pada 21 Mac 2024. Penyelidik mengenal pasti 433 mesej yang dihantar melalui persekitaran C2 berasaskan Discord yang berniat jahat, yang memberi kesan kepada lebih daripada 50 sasaran unik.
Walaupun kaedah akses awal yang tepat masih tidak diketahui, penyiasat mendapati bahawa pengendali Webworm secara aktif menggunakan alat peninjauan dan eksploitasi sumber terbuka seperti dirsearch dan nuclei. Utiliti ini digunakan untuk memaksa direktori pelayan web secara kasar, mengenal pasti fail yang terdedah dan mengimbas kelemahan yang boleh dieksploitasi.
Bukti Lemah yang Mengaitkan Webworm dengan Lanun Angkasa
Walaupun terdapat beberapa persamaan operasi, para penyelidik mengingatkan bahawa hubungan antara Webworm dan gugusan Lanun Angkasa masih tidak dapat disimpulkan. Pertindihan semasa nampaknya terhad terutamanya kepada penggunaan RAT yang tersedia secara umum dan corak perkakasan yang dikongsi, dengan bukti yang tidak mencukupi untuk mewujudkan hubungan yang muktamad antara kedua-dua kumpulan ancaman tersebut.
