Webworm APT
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali obnovené operácie spojené s čínskou skupinou Webworm, pričom zdôraznili nasadenie sofistikovaných zadných vrátok, ktoré zneužívajú Discord a rozhranie Microsoft Graph API pre komunikáciu Command-and-Control (C2). Najnovšia aktivita odráža širší vývoj v operačnej stratégii skupiny, ktorá kladie dôraz na utajenie, infraštruktúru založenú na proxy a zneužívanie legitímnych platforiem na vyhýbanie sa odhaleniu.
Obsah
Pretrvávajúca hrozba zameraná na kritické sektory
Webworm, ktorý bol prvýkrát verejne zdokumentovaný v septembri 2022, je pravdepodobne aktívny minimálne od toho istého roku. Skupina sa neustále zameriava na vládne inštitúcie a podnikové organizácie pôsobiace v odvetviach, ako sú IT služby, letecký priemysel a elektrická energia. Obete boli identifikované v Rusku, Gruzínsku, Mongolsku a niekoľkých ázijských krajinách.
Tento útočník sa historicky spoliehal na trójske kone s vzdialeným prístupom vrátane Trochilus RAT, Gh0st RAT a 9002 RAT, známeho aj ako Hydraq alebo McRat. Bezpečnostní analytici tiež spojili aktivitu skupiny s niekoľkými klastrami spojenými s Čínou, vrátane FishMonger, SixLittleMonkeys a Space Pirates. Spomedzi nich si SixLittleMonkeys získal pozornosť používaním Gh0st RAT a rodiny malvéru Mikroceen proti subjektom v Strednej Ázii, Bielorusku, Rusku a Mongolsku.
Posun smerom k nenápadnejším operáciám
Počas uplynulých dvoch rokov sa Webworm postupne odklonil od tradičných systémov škodlivého softvéru v prospech nenápadne orientovaných proxy nástrojov a pololegitímnych sieťových nástrojov. Zdá sa, že tento prechod je navrhnutý tak, aby znížil riziká detekcie a zároveň zachoval trvalý prístup v kompromitovaných prostrediach.
V roku 2025 skupina zaviedla do svojho arzenálu dva novo identifikované zadné vrátka:
EchoCreep, ktorý využíva Discord na operácie velenia a riadenia a podporuje prenos súborov spolu so vzdialeným vykonávaním príkazov prostredníctvom cmd.exe.
GraphWorm, pokročilejší implantát, ktorý komunikuje prostredníctvom rozhrania Microsoft Graph API a umožňuje operátorom vytvárať nové relácie cmd.exe, spúšťať procesy, nahrávať a sťahovať súbory prostredníctvom služby Microsoft OneDrive a ukončovať vlastné vykonávanie po prijatí pokynov operátora.
Výskumníci tiež pozorovali používanie repozitára GitHub maskovaného ako fork WordPressu na hosťovanie malvéru a nástrojov, ako je SoftEther VPN. Táto taktika umožňuje škodlivej infraštruktúre prelínať sa s legitímnou vývojovou aktivitou, čo komplikuje úsilie o detekciu. Používanie SoftEther VPN je v súlade s metódami, ktoré predtým používali viaceré čínske skupiny kybernetickej špionáže.
Rozšírenie geografického dosahu a proxy infraštruktúry
Nedávne kampane spoločnosti Webworm demonštrujú rastúce zameranie na európske ciele vrátane vládnych organizácií v Belgicku, Taliansku, Srbsku, Poľsku a Španielsku, ako aj na univerzitu so sídlom v Južnej Afrike.
Zároveň sa zdá, že tento aktér hrozby postupne vyraďuje staršie rodiny malvéru, ako sú Trochilus a 9002 RAT, v prospech vlastných proxy frameworkov a tunelovacích nástrojov. Medzi ďalšie nástroje spojené s touto skupinou patria iox, WormFrp, ChainWorm, SmuxProxy a WormSocket. Vyšetrovatelia zistili, že WormFrp načítava konfiguračné údaje z napadnutého úložiska Amazon S3.
Tieto proxy nástroje sú navrhnuté tak, aby šifrovali komunikáciu a podporovali reťazené pripojenia naprieč internými a externými systémami, čo útočníkom umožňuje smerovať prevádzku cez viacerých hostiteľov a zároveň skrývať operačnú aktivitu. Analytici sa domnievajú, že tieto nástroje sa často kombinujú so SoftEther VPN, aby sa ďalej zakryli pohyby útočníkov a zlepšila sa odolnosť.
Aktivita velenia založená na Discorde odhaľuje operačný rozsah
Analýza infraštruktúry Discordu používanej spoločnosťou EchoCreep odhalila, že prevádzka príkazov siaha minimálne do 21. marca 2024. Výskumníci identifikovali 433 správ prenášaných cez škodlivé prostredie C2 založené na Discorde, ktoré ovplyvnili viac ako 50 jedinečných cieľov.
Hoci presná metóda počiatočného prístupu zostáva neznáma, vyšetrovatelia zistili, že operátori webových červov aktívne využívajú open-source nástroje na prieskum a zneužívanie, ako napríklad dirsearch a nuclei. Tieto nástroje sa používajú na hrubú silu preniknutia do adresárov webových serverov, identifikáciu exponovaných súborov a skenovanie zneužiteľných zraniteľností.
Slabé dôkazy spájajúce webčerva s vesmírnymi pirátmi
Napriek určitým podobnostiam v prevádzke výskumníci upozorňujú, že súvislosť medzi Webworm a klastrom Space Pirates zostáva nepresvedčivá. Súčasné prekrývanie sa zdá byť obmedzené predovšetkým na používanie verejne dostupných RAT a zdieľaných nástrojov, pričom neexistuje dostatok dôkazov na stanovenie definitívneho vzťahu medzi týmito dvoma skupinami hrozieb.
