Webworm APT
சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், 'வெப்வோர்ம்' என அறியப்படும் சீனாவுடன் இணைந்த அச்சுறுத்திக் குழுவின் புதுப்பிக்கப்பட்ட செயல்பாடுகளை அடையாளம் கண்டுள்ளனர். இது, கட்டளை மற்றும் கட்டுப்பாட்டு (C2) தகவல்தொடர்புகளுக்காக டிஸ்கார்ட் மற்றும் மைக்ரோசாஃப்ட் கிராஃப் ஏபிஐ-ஐ தவறாகப் பயன்படுத்தும் அதிநவீன தனிப்பயன் பின்கதவுகளின் வரிசைப்படுத்தலை எடுத்துக்காட்டுகிறது. இந்த சமீபத்திய செயல்பாடு, கண்டறியப்படுவதைத் தவிர்ப்பதற்காக இரகசியத்தன்மை, ப்ராக்ஸி அடிப்படையிலான உள்கட்டமைப்பு மற்றும் முறையான தளங்களைத் தவறாகப் பயன்படுத்துதல் ஆகியவற்றை வலியுறுத்தும் அக்குழுவின் செயல்பாட்டு உத்தியில் ஏற்பட்டுள்ள ஒரு பரந்த பரிணாம வளர்ச்சியைப் பிரதிபலிக்கிறது.
பொருளடக்கம்
முக்கியத் துறைகளைக் குறிவைக்கும் ஒரு தொடர்ச்சியான அச்சுறுத்தல்
செப்டம்பர் 2022-ல் முதன்முறையாகப் பொதுவெளியில் ஆவணப்படுத்தப்பட்ட வெப்வோர்ம், குறைந்தபட்சம் அந்த ஆண்டிலிருந்தே செயல்பட்டு வருவதாக நம்பப்படுகிறது. இந்தக் குழு, தகவல் தொழில்நுட்பச் சேவைகள், விண்வெளி மற்றும் மின்சாரம் போன்ற துறைகளில் இயங்கும் அரசு நிறுவனங்களையும் பெருநிறுவனங்களையும் தொடர்ந்து குறிவைத்து வருகிறது. ரஷ்யா, ஜார்ஜியா, மங்கோலியா மற்றும் பல ஆசிய நாடுகளில் பாதிக்கப்பட்டவர்கள் அடையாளம் காணப்பட்டுள்ளனர்.
இந்த அச்சுறுத்தல் குழுவானது, வரலாற்று ரீதியாக ட்ரோசிலஸ் RAT, கோஸ்ட் RAT, மற்றும் ஹைட்ராக் அல்லது மெக்ராட் என்றும் அழைக்கப்படும் 9002 RAT உள்ளிட்ட தொலைநிலை அணுகல் ட்ரோஜன்களை நம்பியுள்ளது. பாதுகாப்பு ஆய்வாளர்கள் இந்தக் குழுவின் செயல்பாட்டை, ஃபிஷ்மாங்கர், சிக்ஸ்லிட்டில்மங்கீஸ் மற்றும் ஸ்பேஸ் பைரேட்ஸ் உள்ளிட்ட சீனாவுடன் தொடர்புடைய பல குழுக்களுடன் தொடர்புபடுத்தியுள்ளனர். இவற்றுள், சிக்ஸ்லிட்டில்மங்கீஸ் குழுவானது, மத்திய ஆசியா, பெலாரஸ், ரஷ்யா மற்றும் மங்கோலியாவில் உள்ள அமைப்புகளுக்கு எதிராக கோஸ்ட் RAT மற்றும் மைக்ரோசீன் தீம்பொருள் குடும்பத்தைப் பயன்படுத்தியதற்காகக் கவனத்தை ஈர்த்தது.
மறைமுகமான செயல்பாடுகளை நோக்கி நகர்தல்
கடந்த இரண்டு ஆண்டுகளில், வெப்வோர்ம் பாரம்பரிய தீம்பொருள் கட்டமைப்புகளிலிருந்து படிப்படியாக விலகி, மறைமுகச் செயல்பாட்டை நோக்கிய ப்ராக்ஸி பயன்பாடுகள் மற்றும் ஓரளவு சட்டப்பூர்வமான வலையமைப்புக் கருவிகளைப் பயன்படுத்தத் தொடங்கியுள்ளது. இந்த மாற்றம், பாதிப்புக்குள்ளான சூழல்களில் தொடர்ச்சியான அணுகலைப் பராமரிக்கும் அதே வேளையில், கண்டறியப்படும் அபாயங்களைக் குறைக்கும் வகையில் வடிவமைக்கப்பட்டதாகத் தெரிகிறது.
2025-ல், அந்தக் குழு புதிதாக அடையாளம் காணப்பட்ட இரண்டு பின்கதவுகளைத் தனது ஆயுதக் களஞ்சியத்தில் அறிமுகப்படுத்தியது:
EchoCreep, கட்டளை மற்றும் கட்டுப்பாட்டுச் செயல்பாடுகளுக்காக டிஸ்கார்டைப் பயன்படுத்துவதோடு, cmd.exe வழியாக தொலைநிலைக் கட்டளைகளைச் செயல்படுத்துவதோடு கோப்புப் பரிமாற்றங்களையும் ஆதரிக்கிறது.
கிராஃப்வோர்ம் என்பது, மைக்ரோசாஃப்ட் கிராஃப் ஏபிஐ வழியாகத் தொடர்புகொண்டு, இயக்குபவர்களைப் புதிய cmd.exe அமர்வுகளை உருவாக்கவும், செயல்முறைகளைத் தொடங்கவும், மைக்ரோசாஃப்ட் ஒன்ட்ரைவ் வழியாகக் கோப்புகளைப் பதிவேற்றவும் பதிவிறக்கவும், மேலும் இயக்குபவரின் அறிவுறுத்தல்களைப் பெற்றவுடன் அதன் சொந்தச் செயல்பாட்டை நிறுத்தவும் உதவும் ஒரு மேம்பட்ட உள்வைப்பு ஆகும்.
வேர்ட்பிரஸ் ஃபோர்க் போல வேடமிட்டு, சாஃப்ட்ஈதர் விபிஎன் போன்ற தீம்பொருள் பேலோடுகள் மற்றும் பயன்பாடுகளை ஹோஸ்ட் செய்ய ஒரு கிட்ஹப் ரெபாசிட்டரி பயன்படுத்தப்படுவதையும் ஆராய்ச்சியாளர்கள் கவனித்தனர். இந்த உத்தி, தீங்கிழைக்கும் உள்கட்டமைப்பை முறையான மேம்பாட்டுச் செயல்பாடுகளுடன் கலக்க அனுமதித்து, கண்டறியும் முயற்சிகளைச் சிக்கலாக்குகிறது. சாஃப்ட்ஈதர் விபிஎன்-இன் பயன்பாடு, முன்னர் பல சீன இணைய உளவுக் குழுக்களால் கையாளப்பட்ட முறைகளுடன் ஒத்துப்போகிறது.
புவியியல் ரீதியான அணுகல் மற்றும் ப்ராக்ஸி உள்கட்டமைப்பை விரிவுபடுத்துதல்
வெப்வோர்மின் சமீபத்திய பிரச்சாரங்கள், பெல்ஜியம், இத்தாலி, செர்பியா, போலந்து மற்றும் ஸ்பெயின் ஆகிய நாடுகளின் அரசாங்க அமைப்புகள் மற்றும் தென்னாப்பிரிக்காவில் அமைந்துள்ள ஒரு பல்கலைக்கழகம் உள்ளிட்ட ஐரோப்பிய இலக்குகள் மீது அதன் கவனம் அதிகரித்து வருவதை வெளிப்படுத்துகின்றன.
அதே நேரத்தில், இந்த அச்சுறுத்தல் செயலியானது, தனிப்பயன் ப்ராக்ஸி கட்டமைப்புகள் மற்றும் டனலிங் கருவிகளுக்கு ஆதரவாக, ட்ரோசிலஸ் மற்றும் 9002 RAT போன்ற பழைய மால்வேர் வகைகளை படிப்படியாக நீக்கி வருவதாகத் தெரிகிறது. இந்தக் குழுவுடன் தொடர்புடைய கூடுதல் பயன்பாடுகளில் iox, WormFrp, ChainWorm, SmuxProxy மற்றும் WormSocket ஆகியவை அடங்கும். சமரசம் செய்யப்பட்ட அமேசான் S3 பக்கெட்டிலிருந்து WormFrp உள்ளமைவுத் தரவைப் பெறுகிறது என்று புலனாய்வாளர்கள் கண்டறிந்தனர்.
இந்த ப்ராக்ஸி கருவிகள், தகவல்தொடர்புகளைக் குறியாக்கம் செய்யவும், உள் மற்றும் வெளி அமைப்புகளுக்கு இடையே தொடர் இணைப்புகளை ஆதரிக்கவும் வடிவமைக்கப்பட்டுள்ளன. இதன்மூலம், தாக்குதல் நடத்துபவர்கள் செயல்பாட்டு நடவடிக்கைகளை மறைத்துக்கொண்டே, பல ஹோஸ்ட்கள் வழியாக டிராஃபிக்கை வழிநடத்த முடிகிறது. தாக்குதல் நடத்துபவர்களின் நகர்வுகளை மேலும் மறைக்கவும், நிலைத்தன்மையை மேம்படுத்தவும் இந்தக் கருவிகள் பெரும்பாலும் சாஃப்ட்ஈதர் விபிஎன் (SoftEther VPN) உடன் இணைக்கப்படுவதாக ஆய்வாளர்கள் நம்புகின்றனர்.
டிஸ்கார்ட் அடிப்படையிலான கட்டளை நடவடிக்கை, செயல்பாட்டு அளவை வெளிப்படுத்துகிறது.
எக்கோக்ரீப் பயன்படுத்திய டிஸ்கார்ட் உள்கட்டமைப்பை ஆய்வு செய்ததில், கட்டளைப் பரிமாற்றங்கள் குறைந்தது மார்ச் 21, 2024 முதலே இருந்து வருவது தெரியவந்தது. தீங்கிழைக்கும் டிஸ்கார்ட் அடிப்படையிலான C2 சூழல் வழியாக அனுப்பப்பட்ட 433 செய்திகளை ஆராய்ச்சியாளர்கள் அடையாளம் கண்டனர், இவை 50-க்கும் மேற்பட்ட தனிப்பட்ட இலக்குகளைப் பாதித்துள்ளன.
துல்லியமான ஆரம்ப அணுகல் முறை இன்னும் தெரியவில்லை என்றாலும், வெப்வோர்ம் இயக்குபவர்கள் dirsearch மற்றும் nuclei போன்ற திறந்த மூல உளவு மற்றும் சுரண்டல் கருவிகளைத் தீவிரமாகப் பயன்படுத்துகிறார்கள் என்பதை ஆய்வாளர்கள் கண்டறிந்தனர். இந்தக் கருவிகள் வலை சேவையகக் கோப்பகங்களை வலுக்கட்டாயமாக ஊடுருவவும், வெளிப்படுத்தப்பட்ட கோப்புகளை அடையாளம் காணவும், சுரண்டக்கூடிய பாதிப்புகளைக் கண்டறியவும் பயன்படுத்தப்படுகின்றன.
வெப்வோர்மை விண்வெளிக் கடற்கொள்ளையர்களுடன் தொடர்புபடுத்தும் பலவீனமான ஆதாரம்
சில செயல்பாட்டு ஒற்றுமைகள் இருந்தபோதிலும், வெப்வோர்ம் மற்றும் ஸ்பேஸ் பைரேட்ஸ் குழுமத்திற்கு இடையேயான தொடர்பு இன்னும் உறுதியற்றதாகவே உள்ளது என ஆராய்ச்சியாளர்கள் எச்சரிக்கின்றனர். தற்போதைய தொடர்பு, முதன்மையாகப் பொதுவில் கிடைக்கும் RAT-களின் பயன்பாடு மற்றும் பகிரப்பட்ட கருவி வடிவங்களுடன் மட்டுமே மட்டுப்படுத்தப்பட்டதாகத் தெரிகிறது; இரு அச்சுறுத்தல் குழுக்களுக்கும் இடையே ஒரு திட்டவட்டமான உறவை நிறுவுவதற்குப் போதுமான சான்றுகள் இல்லை.
