Webworm APT
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਵੈਬਵਰਮ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਚੀਨ-ਅਨੁਕੂਲ ਧਮਕੀ ਸਮੂਹ ਨਾਲ ਜੁੜੇ ਨਵੇਂ ਕਾਰਜਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜੋ ਕਿ ਡਿਸਕਾਰਡ ਅਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰ ਲਈ ਮਾਈਕ੍ਰੋਸਾਫਟ ਗ੍ਰਾਫ API ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਸੂਝਵਾਨ ਕਸਟਮ ਬੈਕਡੋਰਾਂ ਦੀ ਤਾਇਨਾਤੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦੇ ਹਨ। ਨਵੀਨਤਮ ਗਤੀਵਿਧੀ ਸਮੂਹ ਦੀ ਸੰਚਾਲਨ ਰਣਨੀਤੀ ਵਿੱਚ ਇੱਕ ਵਿਆਪਕ ਵਿਕਾਸ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਜੋ ਕਿ ਸਟੀਲਥ, ਪ੍ਰੌਕਸੀ-ਅਧਾਰਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ, ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਜਾਇਜ਼ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਦੁਰਵਰਤੋਂ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਨਾਜ਼ੁਕ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲਾ ਇੱਕ ਨਿਰੰਤਰ ਖ਼ਤਰਾ
ਸਤੰਬਰ 2022 ਵਿੱਚ ਪਹਿਲੀ ਵਾਰ ਜਨਤਕ ਤੌਰ 'ਤੇ ਦਸਤਾਵੇਜ਼ੀ ਤੌਰ 'ਤੇ ਦਰਜ ਕੀਤਾ ਗਿਆ, ਵੈਬਵਰਮ ਘੱਟੋ-ਘੱਟ ਉਸ ਸਾਲ ਤੋਂ ਸਰਗਰਮ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਸਮੂਹ ਨੇ ਲਗਾਤਾਰ ਆਈਟੀ ਸੇਵਾਵਾਂ, ਏਰੋਸਪੇਸ ਅਤੇ ਇਲੈਕਟ੍ਰਿਕ ਪਾਵਰ ਵਰਗੇ ਖੇਤਰਾਂ ਵਿੱਚ ਕੰਮ ਕਰਨ ਵਾਲੇ ਸਰਕਾਰੀ ਅਦਾਰਿਆਂ ਅਤੇ ਉੱਦਮ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ। ਰੂਸ, ਜਾਰਜੀਆ, ਮੰਗੋਲੀਆ ਅਤੇ ਕਈ ਏਸ਼ੀਆਈ ਦੇਸ਼ਾਂ ਵਿੱਚ ਪੀੜਤਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ।
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨੇ ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨਾਂ 'ਤੇ ਭਰੋਸਾ ਕੀਤਾ ਹੈ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਟ੍ਰੋਚਿਲਸ RAT, Gh0st RAT, ਅਤੇ 9002 RAT ਸ਼ਾਮਲ ਹਨ, ਜਿਨ੍ਹਾਂ ਨੂੰ ਹਾਈਡ੍ਰੈਕ ਜਾਂ ਮੈਕਰੇਟ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਸਮੂਹ ਦੀ ਗਤੀਵਿਧੀ ਨੂੰ ਕਈ ਚੀਨ ਨਾਲ ਸਬੰਧਤ ਕਲੱਸਟਰਾਂ ਨਾਲ ਵੀ ਜੋੜਿਆ ਹੈ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਫਿਸ਼ਮੌਂਗਰ, ਸਿਕਸਲਿਟਲਮੰਕੀਜ਼ ਅਤੇ ਸਪੇਸ ਪਾਈਰੇਟਸ ਸ਼ਾਮਲ ਹਨ। ਇਹਨਾਂ ਵਿੱਚੋਂ, ਸਿਕਸਲਿਟਲਮੰਕੀਜ਼ ਨੇ ਮੱਧ ਏਸ਼ੀਆ, ਬੇਲਾਰੂਸ, ਰੂਸ ਅਤੇ ਮੰਗੋਲੀਆ ਵਿੱਚ ਸੰਸਥਾਵਾਂ ਦੇ ਵਿਰੁੱਧ Gh0st RAT ਅਤੇ ਮਾਈਕ੍ਰੋਸੀਨ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਧਿਆਨ ਖਿੱਚਿਆ।
ਸਟੀਲਥੀਅਰ ਓਪਰੇਸ਼ਨਾਂ ਵੱਲ ਵਧੋ
ਪਿਛਲੇ ਦੋ ਸਾਲਾਂ ਵਿੱਚ, ਵੈਬਵਰਮ ਹੌਲੀ-ਹੌਲੀ ਰਵਾਇਤੀ ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ ਤੋਂ ਦੂਰ ਹੋ ਕੇ ਸਟੀਲਥ-ਓਰੀਐਂਟਡ ਪ੍ਰੌਕਸੀ ਯੂਟਿਲਿਟੀਜ਼ ਅਤੇ ਅਰਧ-ਜਾਇਜ਼ ਨੈੱਟਵਰਕਿੰਗ ਟੂਲਸ ਦੇ ਹੱਕ ਵਿੱਚ ਚਲਾ ਗਿਆ ਹੈ। ਇਹ ਤਬਦੀਲੀ ਸਮਝੌਤਾ ਕੀਤੇ ਵਾਤਾਵਰਣਾਂ ਦੇ ਅੰਦਰ ਨਿਰੰਤਰ ਪਹੁੰਚ ਨੂੰ ਬਣਾਈ ਰੱਖਦੇ ਹੋਏ ਖੋਜ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਜਾਪਦੀ ਹੈ।
2025 ਵਿੱਚ, ਸਮੂਹ ਨੇ ਆਪਣੇ ਅਸਲੇ ਵਿੱਚ ਦੋ ਨਵੇਂ ਪਛਾਣੇ ਗਏ ਬੈਕਡੋਰ ਪੇਸ਼ ਕੀਤੇ:
ਈਕੋਕ੍ਰੀਪ, ਜੋ ਕਿ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਓਪਰੇਸ਼ਨਾਂ ਲਈ ਡਿਸਕਾਰਡ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਅਤੇ cmd.exe ਰਾਹੀਂ ਰਿਮੋਟ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੇ ਨਾਲ-ਨਾਲ ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।
GraphWorm, ਇੱਕ ਹੋਰ ਉੱਨਤ ਇਮਪਲਾਂਟ ਜੋ Microsoft Graph API ਰਾਹੀਂ ਸੰਚਾਰ ਕਰਦਾ ਹੈ ਅਤੇ ਆਪਰੇਟਰਾਂ ਨੂੰ ਨਵੇਂ cmd.exe ਸੈਸ਼ਨ ਬਣਾਉਣ, ਪ੍ਰਕਿਰਿਆਵਾਂ ਲਾਂਚ ਕਰਨ, Microsoft OneDrive ਰਾਹੀਂ ਫਾਈਲਾਂ ਅਪਲੋਡ ਅਤੇ ਡਾਊਨਲੋਡ ਕਰਨ, ਅਤੇ ਆਪਰੇਟਰ ਨਿਰਦੇਸ਼ ਪ੍ਰਾਪਤ ਕਰਨ 'ਤੇ ਆਪਣੇ ਖੁਦ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਖਤਮ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਹ ਵੀ ਦੇਖਿਆ ਕਿ GitHub ਰਿਪੋਜ਼ਟਰੀ ਇੱਕ ਵਰਡਪ੍ਰੈਸ ਫੋਰਕ ਦੇ ਰੂਪ ਵਿੱਚ ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਅਤੇ ਉਪਯੋਗਤਾਵਾਂ ਜਿਵੇਂ ਕਿ SoftEther VPN ਨੂੰ ਹੋਸਟ ਕਰਨ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ ਰਣਨੀਤੀ ਖਤਰਨਾਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਜਾਇਜ਼ ਵਿਕਾਸ ਗਤੀਵਿਧੀ ਵਿੱਚ ਰਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਖੋਜ ਦੇ ਯਤਨਾਂ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ। SoftEther VPN ਦੀ ਵਰਤੋਂ ਕਈ ਚੀਨੀ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਸਮੂਹਾਂ ਦੁਆਰਾ ਪਹਿਲਾਂ ਅਪਣਾਏ ਗਏ ਤਰੀਕਿਆਂ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ।
ਭੂਗੋਲਿਕ ਪਹੁੰਚ ਅਤੇ ਪ੍ਰੌਕਸੀ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਵਿਸਤਾਰ ਕਰਨਾ
ਵੈਬਵਰਮ ਦੀਆਂ ਹਾਲੀਆ ਮੁਹਿੰਮਾਂ ਯੂਰਪੀਅਨ ਟੀਚਿਆਂ 'ਤੇ ਵੱਧ ਰਹੇ ਧਿਆਨ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਬੈਲਜੀਅਮ, ਇਟਲੀ, ਸਰਬੀਆ, ਪੋਲੈਂਡ ਅਤੇ ਸਪੇਨ ਵਿੱਚ ਸਰਕਾਰੀ ਸੰਗਠਨਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਦੱਖਣੀ ਅਫਰੀਕਾ ਵਿੱਚ ਸਥਿਤ ਇੱਕ ਯੂਨੀਵਰਸਿਟੀ ਸ਼ਾਮਲ ਹੈ।
ਇਸ ਦੇ ਨਾਲ ਹੀ, ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਐਕਟਰ ਪੁਰਾਣੇ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਜਿਵੇਂ ਕਿ ਟ੍ਰੋਚਿਲਸ ਅਤੇ 9002 RAT ਨੂੰ ਕਸਟਮ ਪ੍ਰੌਕਸੀ ਫਰੇਮਵਰਕ ਅਤੇ ਟਨਲਿੰਗ ਟੂਲਸ ਦੇ ਹੱਕ ਵਿੱਚ ਖਤਮ ਕਰਦਾ ਜਾਪਦਾ ਹੈ। ਸਮੂਹ ਨਾਲ ਜੁੜੀਆਂ ਵਾਧੂ ਉਪਯੋਗਤਾਵਾਂ ਵਿੱਚ iox, WormFrp, ChainWorm, SmuxProxy, ਅਤੇ WormSocket ਸ਼ਾਮਲ ਹਨ। ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ ਪਾਇਆ ਕਿ WormFrp ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੇ Amazon S3 ਬਕੇਟ ਤੋਂ ਸੰਰਚਨਾ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।
ਇਹ ਪ੍ਰੌਕਸੀ ਟੂਲ ਸੰਚਾਰਾਂ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਅੰਦਰੂਨੀ ਅਤੇ ਬਾਹਰੀ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ ਚੇਨਡ ਕਨੈਕਸ਼ਨਾਂ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ ਸੰਚਾਲਨ ਗਤੀਵਿਧੀ ਨੂੰ ਛੁਪਾਉਂਦੇ ਹੋਏ ਕਈ ਹੋਸਟਾਂ ਰਾਹੀਂ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੂਟ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੇ ਹਨ। ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਹਮਲਾਵਰਾਂ ਦੀਆਂ ਹਰਕਤਾਂ ਨੂੰ ਹੋਰ ਅਸਪਸ਼ਟ ਕਰਨ ਅਤੇ ਸਥਿਰਤਾ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਣ ਲਈ ਇਹਨਾਂ ਟੂਲਸ ਨੂੰ ਅਕਸਰ SoftEther VPN ਨਾਲ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ।
ਡਿਸਕਾਰਡ-ਅਧਾਰਤ ਕਮਾਂਡ ਗਤੀਵਿਧੀ ਕਾਰਜਸ਼ੀਲ ਪੈਮਾਨੇ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦੀ ਹੈ
ਈਕੋਕ੍ਰੀਪ ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਡਿਸਕਾਰਡ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ ਕਮਾਂਡ ਟ੍ਰੈਫਿਕ ਘੱਟੋ-ਘੱਟ 21 ਮਾਰਚ, 2024 ਦਾ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖਤਰਨਾਕ ਡਿਸਕਾਰਡ-ਅਧਾਰਤ C2 ਵਾਤਾਵਰਣ ਰਾਹੀਂ ਪ੍ਰਸਾਰਿਤ ਕੀਤੇ ਗਏ 433 ਸੁਨੇਹਿਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ, ਜੋ 50 ਤੋਂ ਵੱਧ ਵਿਲੱਖਣ ਟੀਚਿਆਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੇ ਹਨ।
ਹਾਲਾਂਕਿ ਸਹੀ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵਿਧੀ ਅਣਜਾਣ ਹੈ, ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ ਖੋਜ ਕੀਤੀ ਕਿ ਵੈਬਵਰਮ ਆਪਰੇਟਰ ਸਰਗਰਮੀ ਨਾਲ ਓਪਨ-ਸੋਰਸ ਖੋਜ ਅਤੇ ਸ਼ੋਸ਼ਣ ਟੂਲ ਜਿਵੇਂ ਕਿ ਡਾਇਸਰਚ ਅਤੇ ਨਿਊਕਲੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਇਹਨਾਂ ਉਪਯੋਗਤਾਵਾਂ ਦੀ ਵਰਤੋਂ ਵੈੱਬ ਸਰਵਰ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਜ਼ਬਰਦਸਤੀ ਕਰਨ, ਸਾਹਮਣੇ ਆਈਆਂ ਫਾਈਲਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਸ਼ੋਸ਼ਣਯੋਗ ਕਮਜ਼ੋਰੀਆਂ ਲਈ ਸਕੈਨ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਵੈਬਵਰਮ ਨੂੰ ਪੁਲਾੜ ਸਮੁੰਦਰੀ ਡਾਕੂਆਂ ਨਾਲ ਜੋੜਨ ਦੇ ਕਮਜ਼ੋਰ ਸਬੂਤ
ਕੁਝ ਕਾਰਜਸ਼ੀਲ ਸਮਾਨਤਾਵਾਂ ਦੇ ਬਾਵਜੂਦ, ਖੋਜਕਰਤਾ ਸਾਵਧਾਨ ਕਰਦੇ ਹਨ ਕਿ ਵੈਬਵਰਮ ਅਤੇ ਸਪੇਸ ਪਾਈਰੇਟਸ ਕਲੱਸਟਰ ਵਿਚਕਾਰ ਸਬੰਧ ਅਜੇ ਵੀ ਅਧੂਰਾ ਹੈ। ਮੌਜੂਦਾ ਓਵਰਲੈਪ ਮੁੱਖ ਤੌਰ 'ਤੇ ਜਨਤਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ RATs ਅਤੇ ਸਾਂਝੇ ਟੂਲਿੰਗ ਪੈਟਰਨਾਂ ਦੀ ਵਰਤੋਂ ਤੱਕ ਸੀਮਤ ਜਾਪਦਾ ਹੈ, ਦੋ ਧਮਕੀ ਸਮੂਹਾਂ ਵਿਚਕਾਰ ਇੱਕ ਨਿਸ਼ਚਿਤ ਸਬੰਧ ਸਥਾਪਤ ਕਰਨ ਲਈ ਨਾਕਾਫ਼ੀ ਸਬੂਤ ਦੇ ਨਾਲ।
