Webworm APT
Studiuesit e sigurisë kibernetike kanë identifikuar operacione të ripërtërira të lidhura me grupin e kërcënimeve të lidhura me Kinën, të njohur si Webworm, duke nxjerrë në pah vendosjen e dyerve të pasme të sofistikuara dhe të personalizuara që abuzojnë me Discord dhe Microsoft Graph API për komunikimet Command-and-Control (C2). Aktiviteti i fundit pasqyron një evolucion më të gjerë në strategjinë operacionale të grupit, duke theksuar infrastrukturën e fshehtë, të bazuar në proxy dhe keqpërdorimin e platformave legjitime për të shmangur zbulimin.
Tabela e Përmbajtjes
Një kërcënim i vazhdueshëm që synon sektorët kritikë
I dokumentuar publikisht për herë të parë në shtator 2022, Webworm besohet të ketë qenë aktiv që të paktën atë vit. Grupi ka synuar vazhdimisht institucionet qeveritare dhe organizatat e ndërmarrjeve që operojnë në sektorë të tillë si shërbimet e IT-së, hapësira ajrore dhe energjia elektrike. Viktimat janë identifikuar në të gjithë Rusinë, Gjeorgjinë, Mongolinë dhe disa vende aziatike.
Aktori kërcënues historikisht është mbështetur në trojanë me akses në distancë, duke përfshirë Trochilus RAT, Gh0st RAT dhe 9002 RAT, i njohur edhe si Hydraq ose McRat. Analistët e sigurisë e kanë lidhur gjithashtu aktivitetin e grupit me disa grupe të lidhura me Kinën, duke përfshirë FishMonger, SixLittleMonkeys dhe Space Pirates. Midis këtyre, SixLittleMonkeys tërhoqi vëmendjen për përdorimin e Gh0st RAT dhe familjes së malware Mikroceen kundër entiteteve në Azinë Qendrore, Bjellorusi, Rusi dhe Mongoli.
Zhvendosje drejt operacioneve më të fshehta
Gjatë dy viteve të fundit, Webworm është larguar gradualisht nga strukturat tradicionale të programeve keqdashëse në favor të shërbimeve proxy të orientuara drejt fshehtësisë dhe mjeteve gjysmë të ligjshme të rrjetëzimit. Tranzicioni duket se është projektuar për të zvogëluar rreziqet e zbulimit, duke ruajtur aksesin e vazhdueshëm brenda mjediseve të kompromentuara.
Në vitin 2025, grupi futi në arsenalin e tij dy "backdoors" të identifikuara rishtazi:
EchoCreep, i cili shfrytëzon Discord për operacionet e komandës dhe kontrollit dhe mbështet transferimet e skedarëve së bashku me ekzekutimin e komandave në distancë përmes cmd.exe.
GraphWorm, një implant më i avancuar që komunikon përmes Microsoft Graph API dhe u mundëson operatorëve të krijojnë seanca të reja cmd.exe, të nisin procese, të ngarkojnë dhe shkarkojnë skedarë përmes Microsoft OneDrive dhe të ndërpresin ekzekutimin e vet pasi të marrin udhëzimet e operatorit.
Studiuesit vunë re gjithashtu përdorimin e një depoje GitHub që maskohej si një degëzim i WordPress për të strehuar ngarkesa dhe shërbime të dëmshme si SoftEther VPN. Kjo taktikë lejon që infrastruktura dashakeqe të përzihet me aktivitetin legjitim të zhvillimit, duke ndërlikuar përpjekjet e zbulimit. Përdorimi i SoftEther VPN përputhet me metodat e miratuara më parë nga grupe të shumta kineze të spiunazhit kibernetik.
Zgjerimi i Shtrirjes Gjeografike dhe Infrastrukturës Proxy
Fushatat e fundit të Webworm demonstrojnë një fokus në rritje ndaj objektivave evropianë, duke përfshirë organizatat qeveritare në Belgjikë, Itali, Serbi, Poloni dhe Spanjë, si dhe një universitet të vendosur në Afrikën e Jugut.
Në të njëjtën kohë, aktori kërcënues duket se po i largon gradualisht familjet e vjetra të malware-ve si Trochilus dhe 9002 RAT në favor të kornizave të personalizuara proxy dhe mjeteve të tunelimit. Shërbime të tjera të lidhura me grupin përfshijnë iox, WormFrp, ChainWorm, SmuxProxy dhe WormSocket. Hetuesit zbuluan se WormFrp merr të dhënat e konfigurimit nga një "koftë" e kompromentuar e Amazon S3.
Këto mjete proxy janë projektuar për të enkriptuar komunikimet dhe për të mbështetur lidhjet e zinxhiruara në të gjitha sistemet e brendshme dhe të jashtme, duke u mundësuar sulmuesve të drejtojnë trafikun përmes hosteve të shumtë, ndërkohë që fshehin aktivitetin operativ. Analistët besojnë se këto mjete shpesh kombinohen me SoftEther VPN për të fshehur më tej lëvizjet e sulmuesve dhe për të përmirësuar qëndrueshmërinë.
Aktiviteti i Komandës i Bazuar në Mosmarrëveshje Zbulon Shkallën Operacionale
Analiza e infrastrukturës së Discord të përdorur nga EchoCreep zbuloi se trafiku i komandave daton të paktën që nga 21 marsi 2024. Studiuesit identifikuan 433 mesazhe të transmetuara përmes mjedisit të dëmshëm C2 të bazuar në Discord, duke ndikuar në më shumë se 50 objektiva unike.
Edhe pse metoda e saktë fillestare e aksesit mbetet e panjohur, hetuesit zbuluan se operatorët e Webworm përdorin në mënyrë aktive mjete zbulimi dhe shfrytëzimi me burim të hapur, të tilla si dirsearch dhe nucleus. Këto shërbime përdoren për të kontrolluar direktoritë e serverëve të internetit, për të identifikuar skedarët e ekspozuar dhe për të skanuar për dobësi të shfrytëzueshme.
Prova të dobëta që lidhin Webworm me Piratët e Hapësirës
Pavarësisht disa ngjashmërive operacionale, studiuesit paralajmërojnë se lidhja midis Webworm dhe grumbullit Space Pirates mbetet e papërfunduar. Mbivendosja aktuale duket se kufizohet kryesisht në përdorimin e RAT-ve të disponueshme publikisht dhe modeleve të përbashkëta të mjeteve, me prova të pamjaftueshme për të vendosur një marrëdhënie përfundimtare midis dy grupeve të kërcënimeve.
