Webworm APT
Raziskovalci kibernetske varnosti so odkrili obnovljene operacije, povezane s kitajsko groženjsko skupino Webworm, pri čemer so izpostavili uvajanje sofisticiranih prilagojenih zadnjih vrat, ki zlorabljajo Discord in Microsoft Graph API za komunikacijo Command-and-Control (C2). Najnovejša aktivnost odraža širši razvoj operativne strategije skupine, ki poudarja prikritost, infrastrukturo, ki temelji na posredniških strežnikih, in zlorabo legitimnih platform za izogibanje odkrivanju.
Kazalo
Vztrajna grožnja, usmerjena v kritične sektorje
Webworm, ki je bil prvič javno dokumentiran septembra 2022, naj bi bil aktiven vsaj od tega leta. Skupina je dosledno ciljala na vladne institucije in poslovne organizacije, ki delujejo v sektorjih, kot so IT-storitve, vesoljska industrija in elektroenergetika. Žrtve so bile identificirane po vsej Rusiji, Gruziji, Mongoliji in več azijskih državah.
Grožnji se je v preteklosti zanašal na trojanske konje za oddaljeni dostop, vključno s Trochilus RAT, Gh0st RAT in 9002 RAT, znanim tudi kot Hydraq ali McRat. Varnostni analitiki so dejavnost skupine povezali tudi z več skupinami, povezanimi s Kitajsko, vključno s FishMonger, SixLittleMonkeys in Space Pirates. Med njimi je SixLittleMonkeys pritegnil pozornost zaradi uporabe Gh0st RAT in družine zlonamerne programske opreme Mikroceen proti subjektom v Srednji Aziji, Belorusiji, Rusiji in Mongoliji.
Premik k bolj prikritim operacijam
V zadnjih dveh letih se je Webworm postopoma oddaljil od tradicionalnih ogrodij zlonamerne programske opreme v korist prikritih proxy orodij in delno legitimnih omrežnih orodij. Zdi se, da je prehod zasnovan tako, da zmanjša tveganja za odkrivanje, hkrati pa ohrani trajen dostop v ogroženih okoljih.
Leta 2025 je skupina v svoj arzenal uvedla dve na novo odkriti zadnji vrati:
EchoCreep, ki uporablja Discord za operacije ukazovanja in nadzora ter podpira prenos datotek skupaj z oddaljenim izvajanjem ukazov prek cmd.exe.
GraphWorm, naprednejši vsadek, ki komunicira prek Microsoft Graph API-ja in operaterjem omogoča ustvarjanje novih sej cmd.exe, zagon procesov, nalaganje in prenos datotek prek Microsoft OneDrive ter prekinitev lastnega izvajanja po prejemu navodil operaterja.
Raziskovalci so opazili tudi uporabo repozitorija GitHub, ki se je maskiral kot razvejana različica WordPressa, za gostovanje zlonamerne programske opreme in pripomočkov, kot je SoftEther VPN. Ta taktika omogoča, da se zlonamerna infrastruktura zlije z legitimnimi razvojnimi dejavnostmi, kar otežuje odkrivanje. Uporaba SoftEther VPN je skladna z metodami, ki so jih prej uporabljale številne kitajske skupine za kibernetsko vohunjenje.
Širjenje geografskega dosega in infrastrukture posredniških strežnikov
Nedavne kampanje Webworm kažejo na vse večji poudarek na evropskih ciljih, vključno z vladnimi organizacijami v Belgiji, Italiji, Srbiji, Poljski in Španiji, pa tudi na univerzi v Južni Afriki.
Hkrati se zdi, da akter grožnje postopoma opušča starejše družine zlonamerne programske opreme, kot sta Trochilus in 9002 RAT, v korist prilagojenih ogrodij proxy in orodij za tuneliranje. Dodatna orodja, povezana s skupino, vključujejo iox, WormFrp, ChainWorm, SmuxProxy in WormSocket. Preiskovalci so ugotovili, da WormFrp pridobiva konfiguracijske podatke iz ogroženega vedra Amazon S3.
Ta orodja za posredniške strežnike so zasnovana za šifriranje komunikacij in podporo verižnih povezav med notranjimi in zunanjimi sistemi, kar napadalcem omogoča usmerjanje prometa prek več gostiteljev, hkrati pa prikrivanje operativne dejavnosti. Analitiki menijo, da se ta orodja pogosto kombinirajo s SoftEther VPN, da se še bolj prikrijejo gibanja napadalcev in izboljša vztrajnost.
Dejavnost poveljstva na podlagi Discorda razkriva operativni obseg
Analiza infrastrukture Discorda, ki jo uporablja EchoCreep, je pokazala, da promet ukazov sega vsaj v 21. marec 2024. Raziskovalci so identificirali 433 sporočil, poslanih prek zlonamernega okolja C2, ki temelji na Discordu, in so vplivala na več kot 50 edinstvenih ciljev.
Čeprav natančna metoda začetnega dostopa ostaja neznana, so preiskovalci odkrili, da upravljavci spletnih črvov aktivno uporabljajo orodja za izvidovanje in izkoriščanje odprte kode, kot sta dirsearch in nuclei. Ta orodja se uporabljajo za grobo silo vdora v imenike spletnih strežnikov, prepoznavanje izpostavljenih datotek in iskanje ranljivosti, ki jih je mogoče izkoristiti.
Šibki dokazi, ki povezujejo spletnega črva z vesoljskimi pirati
Kljub nekaterim podobnostim v delovanju raziskovalci opozarjajo, da povezava med Webwormom in skupino Space Pirates ostaja nejasna. Trenutno prekrivanje se zdi omejeno predvsem na uporabo javno dostopnih RAT-ov in skupnih vzorcev orodij, pri čemer ni dovolj dokazov za vzpostavitev dokončne povezave med obema skupinama groženj.
