Webworm APT
Badacze cyberbezpieczeństwa zidentyfikowali wznowione działania powiązane z powiązaną z Chinami grupą zagrożeń znaną jako Webworm, co wskazuje na wdrażanie zaawansowanych, niestandardowych backdoorów, które wykorzystują platformę Discord i interfejs API Microsoft Graph do komunikacji typu Command-and-Control (C2). Najnowsza aktywność odzwierciedla szerszą ewolucję strategii operacyjnej grupy, kładącą nacisk na ukryte działanie, infrastrukturę opartą na proxy oraz nadużywanie legalnych platform w celu uniknięcia wykrycia.
Spis treści
Stałe zagrożenie atakujące sektory krytyczne
Webworm, którego publicznie udokumentowano po raz pierwszy we wrześniu 2022 roku, prawdopodobnie działał co najmniej od tego roku. Grupa konsekwentnie atakowała instytucje rządowe i przedsiębiorstwa działające w sektorach takich jak usługi informatyczne, lotnictwo i energetyka. Ofiary zidentyfikowano w Rosji, Gruzji, Mongolii i kilku krajach azjatyckich.
Ten aktor zagrożeń historycznie opierał się na trojanach zdalnego dostępu, takich jak Trochilus RAT, Gh0st RAT i 9002 RAT, znanych również jako Hydraq lub McRat. Analitycy bezpieczeństwa powiązali również działalność grupy z kilkoma klastrami powiązanymi z Chinami, w tym FishMonger, SixLittleMonkeys i Space Pirates. Spośród nich SixLittleMonkeys zyskało rozgłos dzięki wykorzystywaniu Gh0st RAT i rodziny złośliwego oprogramowania Mikroceen przeciwko podmiotom w Azji Środkowej, na Białorusi, w Rosji i Mongolii.
Przejście na bardziej ukryte operacje
W ciągu ostatnich dwóch lat Webworm stopniowo odchodził od tradycyjnych struktur złośliwego oprogramowania na rzecz ukrytych narzędzi proxy i częściowo legalnych narzędzi sieciowych. Wydaje się, że ta zmiana ma na celu zmniejszenie ryzyka wykrycia przy jednoczesnym zachowaniu stałego dostępu w zainfekowanych środowiskach.
W 2025 roku grupa wprowadziła do swojego arsenału dwa nowe, zidentyfikowane tylne furtki:
EchoCreep wykorzystuje Discord do operacji typu command-and-control i obsługuje przesyłanie plików oraz zdalne wykonywanie poleceń za pomocą cmd.exe.
GraphWorm, bardziej zaawansowany implant komunikujący się za pomocą interfejsu API Microsoft Graph, który umożliwia operatorom tworzenie nowych sesji cmd.exe, uruchamianie procesów, przesyłanie i pobieranie plików za pośrednictwem Microsoft OneDrive oraz kończenie własnego działania po otrzymaniu instrukcji od operatora.
Badacze zaobserwowali również wykorzystanie repozytorium GitHub podszywającego się pod fork WordPressa do hostowania złośliwego oprogramowania i narzędzi, takich jak SoftEther VPN. Taka taktyka pozwala złośliwej infrastrukturze wtopić się w legalną działalność programistyczną, co komplikuje proces wykrywania. Wykorzystanie SoftEther VPN jest zgodne z metodami stosowanymi wcześniej przez wiele chińskich grup zajmujących się cyberszpiegostwem.
Rozszerzanie zasięgu geograficznego i infrastruktury proxy
Ostatnie kampanie Webworm pokazują, że organizacja ta coraz bardziej skupia się na celach europejskich, w tym na organizacjach rządowych w Belgii, Włoszech, Serbii, Polsce i Hiszpanii, a także na uniwersytecie w Republice Południowej Afryki.
Jednocześnie, zagrożenie wydaje się wycofywać starsze rodziny złośliwego oprogramowania, takie jak Trochilus i 9002 RAT, na rzecz niestandardowych struktur proxy i narzędzi tunelujących. Inne narzędzia powiązane z tą grupą to iox, WormFrp, ChainWorm, SmuxProxy i WormSocket. Śledczy odkryli, że WormFrp pobiera dane konfiguracyjne z zainfekowanego kontenera Amazon S3.
Te narzędzia proxy zostały zaprojektowane do szyfrowania komunikacji i obsługi połączeń łańcuchowych w systemach wewnętrznych i zewnętrznych, umożliwiając atakującym kierowanie ruchu przez wiele hostów, jednocześnie ukrywając aktywność operacyjną. Analitycy uważają, że narzędzia te są często łączone z SoftEther VPN, aby jeszcze bardziej ukryć ruchy atakujących i zwiększyć ich trwałość.
Aktywność dowodzenia oparta na Discordzie ujawnia skalę operacyjną
Analiza infrastruktury Discord wykorzystywanej przez EchoCreep ujawniła, że ruch poleceń sięga co najmniej 21 marca 2024 r. Badacze zidentyfikowali 433 wiadomości przesyłane za pośrednictwem złośliwego środowiska C2 opartego na Discordzie, co miało wpływ na ponad 50 unikalnych celów.
Chociaż dokładna metoda początkowego dostępu pozostaje nieznana, śledczy odkryli, że operatorzy Webworm aktywnie korzystają z narzędzi do rozpoznania i eksploatacji luk w zabezpieczeniach, takich jak dirsearch i nuclei. Narzędzia te służą do siłowego ataku na katalogi serwerów WWW, identyfikowania ujawnionych plików i skanowania w poszukiwaniu luk w zabezpieczeniach, które mogą zostać wykorzystane.
Słabe dowody łączące Webworma z piratami kosmicznymi
Pomimo pewnych podobieństw operacyjnych, badacze ostrzegają, że związek między Webwormem a gromadą Piratów Kosmicznych pozostaje niejednoznaczny. Obecne nakładanie się wydaje się ograniczać głównie do wykorzystania publicznie dostępnych narzędzi RAT i wspólnych wzorców narzędzi, przy braku wystarczających dowodów na ustalenie jednoznacznego związku między tymi dwiema grupami zagrożeń.
