Webworm APT
Исследователи в области кибербезопасности выявили возобновление операций, связанных с прокитайской группировкой угроз, известной как Webworm, и обратили внимание на использование сложных пользовательских бэкдоров, которые злоупотребляют Discord и API Microsoft Graph для управления и контроля (C2). Последняя активность отражает более широкую эволюцию в оперативной стратегии группы, которая делает акцент на скрытности, инфраструктуре на основе прокси-серверов и злоупотреблении легитимными платформами для избежания обнаружения.
Оглавление
Постоянная угроза, нацеленная на критически важные сектора экономики.
Впервые публично задокументированная в сентябре 2022 года, группа Webworm, как полагают, действует как минимум с этого года. Она постоянно нацеливается на государственные учреждения и предприятия, работающие в таких секторах, как ИТ-услуги, аэрокосмическая промышленность и электроэнергетика. Жертвы были выявлены в России, Грузии, Монголии и ряде азиатских стран.
Злоумышленники исторически использовали трояны с удаленным доступом, включая Trochilus RAT, Gh0st RAT и 9002 RAT, также известные как Hydraq или McRat. Аналитики в области безопасности также связывали деятельность этой группы с несколькими связанными с Китаем группами, включая FishMonger, SixLittleMonkeys и Space Pirates. Среди них SixLittleMonkeys привлекли внимание использованием Gh0st RAT и семейства вредоносных программ Mikroceen против организаций в Центральной Азии, Беларуси, России и Монголии.
Переход к более скрытным операциям
За последние два года Webworm постепенно отошёл от традиционных фреймворков вредоносного ПО в пользу ориентированных на скрытность прокси-утилит и полулегальных сетевых инструментов. Этот переход, по всей видимости, призван снизить риски обнаружения, сохраняя при этом постоянный доступ в скомпрометированных средах.
В 2025 году группа добавила в свой арсенал два недавно обнаруженных бэкдора:
EchoCreep, использующий Discord для управления и контроля, поддерживает передачу файлов, а также удаленное выполнение команд через cmd.exe.
GraphWorm — это более продвинутый имплант, взаимодействующий через API Microsoft Graph и позволяющий операторам создавать новые сеансы cmd.exe, запускать процессы, загружать и скачивать файлы через Microsoft OneDrive, а также завершать собственное выполнение при получении инструкций от оператора.
Исследователи также обнаружили использование репозитория GitHub, замаскированного под форк WordPress, для размещения вредоносных программ и утилит, таких как SoftEther VPN. Эта тактика позволяет вредоносной инфраструктуре сливаться с легитимной деятельностью разработчиков, что усложняет обнаружение. Использование SoftEther VPN соответствует методам, ранее применявшимся несколькими китайскими группами кибершпионажа.
Расширение географического охвата и инфраструктуры прокси-серверов.
В последних кампаниях Webworm наблюдается растущее внимание к европейским целям, включая правительственные организации в Бельгии, Италии, Сербии, Польше и Испании, а также университет в Южной Африке.
В то же время, похоже, что злоумышленник постепенно отказывается от старых семейств вредоносных программ, таких как Trochilus и 9002 RAT, в пользу собственных прокси-фреймворков и инструментов туннелирования. К числу дополнительных утилит, связанных с этой группой, относятся iox, WormFrp, ChainWorm, SmuxProxy и WormSocket. Следователи обнаружили, что WormFrp извлекает данные конфигурации из скомпрометированного хранилища Amazon S3.
Эти прокси-инструменты разработаны для шифрования коммуникаций и поддержки цепочек соединений между внутренними и внешними системами, что позволяет злоумышленникам направлять трафик через несколько хостов, скрывая при этом свою операционную деятельность. Аналитики считают, что эти инструменты часто комбинируются с SoftEther VPN для дальнейшего сокрытия перемещений злоумышленников и повышения уровня их устойчивости.
Активность командования в Discord выявляет масштабы операций.
Анализ инфраструктуры Discord, используемой EchoCreep, показал, что командный трафик датируется как минимум 21 марта 2024 года. Исследователи выявили 433 сообщения, переданных через вредоносную среду управления и контроля на основе Discord, которые затронули более 50 уникальных целей.
Хотя точный метод первоначального доступа остается неизвестным, исследователи обнаружили, что операторы веб-червей активно используют инструменты разведки и эксплуатации с открытым исходным кодом, такие как dirsearch и nuclei. Эти утилиты используются для перебора паролей в каталогах веб-серверов, выявления открытых файлов и сканирования на наличие уязвимостей, которые можно использовать.
Слабые доказательства, связывающие паутинного червя с космическими пиратами.
Несмотря на некоторые оперативные сходства, исследователи предупреждают, что связь между Webworm и кластером Space Pirates остается неубедительной. Текущее совпадение, по-видимому, ограничивается в основном использованием общедоступных RAT-программ и общих инструментов, и недостаточно доказательств для установления однозначной связи между двумя группами угроз.
