Webworm APT
Истраживачи сајбер безбедности идентификовали су обновљене операције повезане са претњом повезаном са Кином, познатом као Webworm, истичући распоређивање софистицираних прилагођених задњих врата која злоупотребљавају Discord и Microsoft Graph API за комуникацију типа Command-and-Control (C2). Најновија активност одражава ширу еволуцију у оперативној стратегији групе, наглашавајући прикривеност, инфраструктуру засновану на проксијима и злоупотребу легитимних платформи ради избегавања откривања.
Преглед садржаја
Упорна претња усмерена на критичне секторе
Јавно документован први пут у септембру 2022. године, верује се да је Webworm активан најмање од те године. Група је константно циљала владине институције и пословне организације које послују у секторима као што су ИТ услуге, ваздухопловство и електроенергетика. Жртве су идентификоване широм Русије, Грузије, Монголије и неколико азијских земаља.
Овај претњачки актер се историјски ослањао на тројанце за даљински приступ, укључујући Trochilus RAT, Gh0st RAT и 9002 RAT, познате и као Hydraq или McRat. Безбедносни аналитичари су такође повезали активности групе са неколико кластера повезаних са Кином, укључујући FishMonger, SixLittleMonkeys и Space Pirates. Међу њима, SixLittleMonkeys је привукао пажњу због коришћења Gh0st RAT и породице злонамерних програма Mikroceen против ентитета у Централној Азији, Белорусији, Русији и Монголији.
Прелазак на прикривеније операције
Током протекле две године, Webworm се постепено удаљавао од традиционалних оквира за злонамерни софтвер у корист прикривено оријентисаних прокси алата и полулегитимних мрежних алата. Чини се да је прелаз осмишљен да смањи ризике откривања, а да притом одржи стални приступ у угроженим окружењима.
Године 2025, група је у свој арсенал увела два новоидентификована задња врата:
EchoCreep, који користи Discord за операције командовања и контроле и подржава пренос датотека уз даљинско извршавање команди путем cmd.exe.
GraphWorm, напреднији имплантат који комуницира путем Microsoft Graph API-ја и омогућава оператерима да креирају нове cmd.exe сесије, покрећу процесе, отпремају и преузимају датотеке путем Microsoft OneDrive-а и прекидају сопствено извршавање након пријема инструкција оператера.
Истраживачи су такође приметили коришћење GitHub репозиторијума маскираног као WordPress fork за хостовање злонамерног софтвера и услужних програма као што је SoftEther VPN. Ова тактика омогућава злонамерној инфраструктури да се уклопи у легитимне развојне активности, компликујући напоре за откривање. Употреба SoftEther VPN-а је у складу са методама које су претходно усвојиле више кинеских група за сајбер шпијунажу.
Проширење географског домета и прокси инфраструктуре
Недавне кампање компаније Webworm показују све већи фокус на европске циљеве, укључујући владине организације у Белгији, Италији, Србији, Пољској и Шпанији, као и универзитет који се налази у Јужној Африци.
Истовремено, чини се да претња постепено укида старије породице малвера као што су Trochilus и 9002 RAT у корист прилагођених прокси фрејмворка и алата за тунелирање. Додатни услужни програми повезани са групом укључују iox, WormFrp, ChainWorm, SmuxProxy и WormSocket. Истражитељи су открили да WormFrp преузима податке о конфигурацији из компромитованог Amazon S3 корпе.
Ови прокси алати су пројектовани да шифрују комуникације и подржавају ланчане везе између интерних и екстерних система, омогућавајући нападачима да усмеравају саобраћај кроз више хостова док прикривају оперативне активности. Аналитичари верују да се ови алати често комбинују са SoftEther VPN-ом како би се додатно прикрило кретање нападача и побољшала истрајност.
Активност команде заснована на Дискорду открива оперативне размере
Анализа Дискорд инфраструктуре коју користи ЕхоКрип открила је да командни саобраћај датира најмање од 21. марта 2024. године. Истраживачи су идентификовали 433 поруке послате кроз злонамерно Дискорд Ц2 окружење, које су утицале на више од 50 јединствених мета.
Иако прецизан почетни метод приступа остаје непознат, истраживачи су открили да оператери Webworm-а активно користе алате за извиђање и експлоатацију отвореног кода као што су dirsearch и nuclei. Ови алати се користе за грубу форсирање директоријума веб сервера, идентификацију изложених датотека и скенирање рањивости које се могу искористити.
Слаби докази који повезују вебцрва са свемирским пиратима
Упркос одређеним оперативним сличностима, истраживачи упозоравају да веза између Webworm-а и кластера Space Pirates остаје неубедљива. Тренутно преклапање изгледа да је ограничено првенствено на коришћење јавно доступних RAT-ова и заједничких образаца алата, са недовољним доказима да се успостави дефинитивна веза између две групе претњи.
