Webworm APT
साइबर सुरक्षा अनुसन्धानकर्ताहरूले वेबवर्म भनेर चिनिने चीन-पङ्क्तिबद्ध खतरा समूहसँग सम्बन्धित नवीकरण गरिएका अपरेशनहरू पहिचान गरेका छन्, जसले Discord र कमाण्ड-एन्ड-कन्ट्रोल (C2) सञ्चारको लागि माइक्रोसफ्ट ग्राफ एपीआईको दुरुपयोग गर्ने परिष्कृत कस्टम ब्याकडोरहरूको तैनातीलाई प्रकाश पार्छ। पछिल्लो गतिविधिले समूहको सञ्चालन रणनीतिमा व्यापक विकासलाई प्रतिबिम्बित गर्दछ, जसले चोरी, प्रोक्सी-आधारित पूर्वाधार, र पत्ता लगाउनबाट बच्न वैध प्लेटफर्महरूको दुरुपयोगलाई जोड दिन्छ।
सामग्रीको तालिका
महत्वपूर्ण क्षेत्रहरूलाई लक्षित गर्दै निरन्तर खतरा
सेप्टेम्बर २०२२ मा पहिलो पटक सार्वजनिक रूपमा दस्तावेज गरिएको, वेबवर्म कम्तिमा त्यही वर्षदेखि सक्रिय रहेको विश्वास गरिन्छ। यो समूहले लगातार सरकारी संस्थाहरू र आईटी सेवाहरू, एयरोस्पेस र विद्युतीय शक्ति जस्ता क्षेत्रहरूमा सञ्चालन हुने उद्यम संस्थाहरूलाई लक्षित गर्दै आएको छ। रूस, जर्जिया, मंगोलिया र धेरै एसियाली देशहरूमा पीडितहरूको पहिचान गरिएको छ।
खतरा अभिनेताले ऐतिहासिक रूपमा ट्रोचिलस RAT, Gh0st RAT, र 9002 RAT, जसलाई Hydraq वा McRat पनि भनिन्छ, सहित रिमोट एक्सेस ट्रोजनहरूमा भर परेको छ। सुरक्षा विश्लेषकहरूले समूहको गतिविधिलाई FishMonger, SixLittleMonkeys, र Space Pirates लगायत धेरै चीन-सम्बन्धित क्लस्टरहरूसँग पनि जोडेका छन्। यी मध्ये, SixLittleMonkeys ले मध्य एशिया, बेलारुस, रूस र मंगोलियाका संस्थाहरू विरुद्ध Gh0st RAT र Mikroceen मालवेयर परिवार प्रयोग गरेर ध्यान आकर्षित गर्यो।
स्टेल्थियर अपरेशनहरू तर्फ सर्नुहोस्
विगत दुई वर्षमा, वेबवर्मले परम्परागत मालवेयर फ्रेमवर्कहरूबाट बिस्तारै टाढा गएर स्टिल्थ-उन्मुख प्रोक्सी उपयोगिताहरू र अर्ध-वैध नेटवर्किङ उपकरणहरूको पक्षमा सरेको छ। यो संक्रमण सम्झौता गरिएको वातावरण भित्र निरन्तर पहुँच कायम राख्दै पत्ता लगाउने जोखिमहरू कम गर्न डिजाइन गरिएको देखिन्छ।
२०२५ मा, समूहले आफ्नो शस्त्रागारमा दुई नयाँ पहिचान गरिएका ब्याकडोरहरू परिचय गरायो:
इकोक्रिप, जसले कमाण्ड-एण्ड-कन्ट्रोल अपरेशनहरूको लागि डिस्कर्डको लाभ उठाउँछ र cmd.exe मार्फत रिमोट कमाण्ड कार्यान्वयनको साथसाथै फाइल स्थानान्तरणलाई समर्थन गर्दछ।
GraphWorm, एक थप उन्नत इम्प्लान्ट जसले Microsoft Graph API मार्फत सञ्चार गर्छ र अपरेटरहरूलाई नयाँ cmd.exe सत्रहरू सिर्जना गर्न, प्रक्रियाहरू सुरु गर्न, Microsoft OneDrive मार्फत फाइलहरू अपलोड र डाउनलोड गर्न, र अपरेटर निर्देशनहरू प्राप्त गरेपछि यसको आफ्नै कार्यान्वयन समाप्त गर्न सक्षम बनाउँछ।
अनुसन्धानकर्ताहरूले सफ्टइथर VPN जस्ता मालवेयर पेलोडहरू र उपयोगिताहरू होस्ट गर्न वर्डप्रेस फोर्कको रूपमा लुकेको GitHub भण्डारको प्रयोग पनि अवलोकन गरे। यो रणनीतिले दुर्भावनापूर्ण पूर्वाधारलाई वैध विकास गतिविधिमा मिसिन अनुमति दिन्छ, जसले पत्ता लगाउने प्रयासहरूलाई जटिल बनाउँछ। सफ्टइथर VPN को प्रयोग पहिले धेरै चिनियाँ साइबर-जासूसी समूहहरूले अपनाएका विधिहरूसँग मिल्दोजुल्दो छ।
भौगोलिक पहुँच र प्रोक्सी पूर्वाधार विस्तार गर्दै
वेबवर्मको हालैका अभियानहरूले बेल्जियम, इटाली, सर्बिया, पोल्याण्ड र स्पेनका सरकारी संस्थाहरू, साथै दक्षिण अफ्रिकामा अवस्थित विश्वविद्यालय सहित युरोपेली लक्ष्यहरूमा बढ्दो ध्यान केन्द्रित गरेको देखाउँछ।
एकै समयमा, खतरा अभिनेताले अनुकूलन प्रोक्सी फ्रेमवर्क र टनेलिङ उपकरणहरूको पक्षमा Trochilus र 9002 RAT जस्ता पुराना मालवेयर परिवारहरूलाई चरणबद्ध रूपमा हटाउँदै गरेको देखिन्छ। समूहसँग सम्बन्धित थप उपयोगिताहरूमा iox, WormFrp, ChainWorm, SmuxProxy, र WormSocket समावेश छन्। अन्वेषकहरूले पत्ता लगाए कि WormFrp ले सम्झौता गरिएको Amazon S3 बकेटबाट कन्फिगरेसन डेटा पुन: प्राप्त गर्दछ।
यी प्रोक्सी उपकरणहरू सञ्चारहरू इन्क्रिप्ट गर्न र आन्तरिक र बाह्य प्रणालीहरूमा चेन जडानहरूलाई समर्थन गर्न ईन्जिनियर गरिएका छन्, जसले आक्रमणकारीहरूलाई सञ्चालन गतिविधि लुकाउँदै धेरै होस्टहरू मार्फत ट्राफिक रुट गर्न सक्षम बनाउँछ। विश्लेषकहरू विश्वास गर्छन् कि आक्रमणकारीहरूको चाललाई अझ अस्पष्ट पार्न र दृढता सुधार गर्न यी उपकरणहरू बारम्बार सफ्टइथर VPN सँग जोडिन्छन्।
डिस्कर्ड-आधारित कमाण्ड गतिविधिले सञ्चालन स्केल प्रकट गर्दछ
इकोक्रिपले प्रयोग गरेको डिस्कर्ड पूर्वाधारको विश्लेषणले कमाण्ड ट्राफिक कम्तिमा मार्च २१, २०२४ को भएको पत्ता लगायो। अनुसन्धानकर्ताहरूले दुर्भावनापूर्ण डिस्कर्ड-आधारित C2 वातावरण मार्फत प्रसारित ४३३ सन्देशहरू पहिचान गरे, जसले ५० भन्दा बढी अद्वितीय लक्ष्यहरूलाई असर गर्यो।
यद्यपि सटीक प्रारम्भिक पहुँच विधि अज्ञात नै छ, अनुसन्धानकर्ताहरूले पत्ता लगाए कि वेबवर्म अपरेटरहरूले सक्रिय रूपमा खुला-स्रोत जासूसी र शोषण उपकरणहरू जस्तै dirsearch र nuclei प्रयोग गर्छन्। यी उपयोगिताहरू वेब सर्भर डाइरेक्टरीहरूलाई ब्रुट-फोर्स गर्न, खुला फाइलहरू पहिचान गर्न, र शोषणयोग्य कमजोरीहरूको लागि स्क्यान गर्न प्रयोग गरिन्छ।
वेबवर्मलाई अन्तरिक्ष समुद्री डाकूहरूसँग जोड्ने कमजोर प्रमाण
केही परिचालन समानताहरूको बावजुद, अनुसन्धानकर्ताहरूले चेतावनी दिन्छन् कि वेबवर्म र स्पेस पाइरेट्स क्लस्टर बीचको सम्बन्ध अनिर्णीत रहन्छ। हालको ओभरल्याप मुख्यतया सार्वजनिक रूपमा उपलब्ध RATs र साझा उपकरण ढाँचाहरूको प्रयोगमा सीमित देखिन्छ, दुई खतरा समूहहरू बीच निश्चित सम्बन्ध स्थापित गर्न अपर्याप्त प्रमाणहरू सहित।
