Webworm APT

సైబర్‌ సెక్యూరిటీ పరిశోధకులు, చైనాతో పొత్తు పెట్టుకున్న వెబ్‌వార్మ్ అనే ముప్పు సమూహానికి సంబంధించిన పునరుద్ధరించబడిన కార్యకలాపాలను గుర్తించారు. కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్‌ల కోసం డిస్కార్డ్ మరియు మైక్రోసాఫ్ట్ గ్రాఫ్ APIని దుర్వినియోగం చేసే అధునాతన కస్టమ్ బ్యాక్‌డోర్‌ల విస్తరణను ఇది వెలుగులోకి తెచ్చింది. ఈ తాజా కార్యకలాపం, ఆ సమూహం యొక్క కార్యాచరణ వ్యూహంలో ఒక విస్తృత పరిణామాన్ని ప్రతిబింబిస్తోంది. ఇది రహస్యత, ప్రాక్సీ-ఆధారిత మౌలిక సదుపాయాలు, మరియు గుర్తింపును తప్పించుకోవడానికి చట్టబద్ధమైన ప్లాట్‌ఫారమ్‌లను దుర్వినియోగం చేయడంపై దృష్టి సారిస్తోంది.

కీలక రంగాలను లక్ష్యంగా చేసుకున్న నిరంతర ముప్పు

2022 సెప్టెంబర్‌లో మొదటిసారిగా బహిరంగంగా నమోదు చేయబడిన వెబ్‌వార్మ్, కనీసం ఆ సంవత్సరం నుంచే చురుకుగా ఉందని నమ్ముతున్నారు. ఈ బృందం ఐటీ సేవలు, ఏరోస్పేస్, మరియు విద్యుత్ శక్తి వంటి రంగాలలో పనిచేస్తున్న ప్రభుత్వ సంస్థలను మరియు వాణిజ్య సంస్థలను నిరంతరం లక్ష్యంగా చేసుకుంది. రష్యా, జార్జియా, మంగోలియా, మరియు అనేక ఆసియా దేశాలలో బాధితులను గుర్తించారు.

ఈ ముప్పు కలిగించే సంస్థ చారిత్రాత్మకంగా ట్రోచిలస్ RAT, ఘోస్ట్ RAT, మరియు 9002 RAT (దీనిని హైడ్రాక్ లేదా మెక్‌రాట్ అని కూడా పిలుస్తారు) వంటి రిమోట్ యాక్సెస్ ట్రోజన్‌లపై ఆధారపడింది. భద్రతా విశ్లేషకులు ఈ బృందం యొక్క కార్యకలాపాలను ఫిష్‌మాంగర్, సిక్స్‌లిటిల్‌మంకీస్, మరియు స్పేస్ పైరేట్స్ వంటి చైనాతో సంబంధం ఉన్న అనేక క్లస్టర్‌లతో కూడా ముడిపెట్టారు. వీటిలో, మధ్య ఆసియా, బెలారస్, రష్యా, మరియు మంగోలియాలోని సంస్థలపై ఘోస్ట్ RAT మరియు మైక్రోసీన్ మాల్వేర్ ఫ్యామిలీని ఉపయోగించడం ద్వారా సిక్స్‌లిటిల్‌మంకీస్ దృష్టిని ఆకర్షించింది.

రహస్య కార్యకలాపాల వైపు మళ్లడం

గత రెండు సంవత్సరాలుగా, వెబ్‌వార్మ్ సాంప్రదాయ మాల్వేర్ ఫ్రేమ్‌వర్క్‌ల నుండి క్రమంగా వైదొలగి, రహస్య ప్రాక్సీ యుటిలిటీలు మరియు పాక్షికంగా చట్టబద్ధమైన నెట్‌వర్కింగ్ సాధనాల వైపు మళ్లింది. ఈ మార్పు, హ్యాక్ చేయబడిన వాతావరణాలలో నిరంతర ప్రాప్యతను కొనసాగిస్తూనే, పట్టుబడే ప్రమాదాలను తగ్గించడానికి రూపొందించినట్లుగా కనిపిస్తోంది.

2025లో, ఆ బృందం కొత్తగా గుర్తించిన రెండు బ్యాక్‌డోర్‌లను తమ ఆయుధాగారంలోకి ప్రవేశపెట్టింది:

EchoCreep, ఇది కమాండ్-అండ్-కంట్రోల్ కార్యకలాపాల కోసం డిస్కార్డ్‌ను ఉపయోగించుకుంటుంది మరియు cmd.exe ద్వారా రిమోట్ కమాండ్ ఎగ్జిక్యూషన్‌తో పాటు ఫైల్ బదిలీలకు కూడా మద్దతు ఇస్తుంది.
గ్రాఫ్‌వార్మ్ అనేది మరింత అధునాతనమైన ఇంప్లాంట్, ఇది మైక్రోసాఫ్ట్ గ్రాఫ్ API ద్వారా కమ్యూనికేట్ చేస్తుంది మరియు ఆపరేటర్లకు కొత్త cmd.exe సెషన్‌లను సృష్టించడానికి, ప్రాసెస్‌లను ప్రారంభించడానికి, మైక్రోసాఫ్ట్ వన్‌డ్రైవ్ ద్వారా ఫైల్‌లను అప్‌లోడ్ మరియు డౌన్‌లోడ్ చేయడానికి, మరియు ఆపరేటర్ సూచనలను అందుకున్నప్పుడు దాని స్వంత ఎగ్జిక్యూషన్‌ను ముగించడానికి వీలు కల్పిస్తుంది.

మాల్‌వేర్ పేలోడ్‌లు మరియు సాఫ్ట్‌ఈథర్ VPN వంటి యుటిలిటీలను హోస్ట్ చేయడానికి, వర్డ్‌ప్రెస్ ఫోర్క్‌గా నటిస్తున్న ఒక గిట్‌హబ్ రిపోజిటరీని ఉపయోగించడాన్ని కూడా పరిశోధకులు గమనించారు. ఈ వ్యూహం, హానికరమైన మౌలిక సదుపాయాలను చట్టబద్ధమైన డెవలప్‌మెంట్ కార్యకలాపాలలో కలిసిపోయేలా చేస్తుంది, తద్వారా వాటిని గుర్తించే ప్రయత్నాలను క్లిష్టతరం చేస్తుంది. సాఫ్ట్‌ఈథర్ VPN వాడకం, గతంలో పలు చైనీస్ సైబర్-గూఢచర్య బృందాలు అనుసరించిన పద్ధతులతో సరిపోలుతోంది.

భౌగోళిక పరిధి మరియు ప్రాక్సీ మౌలిక సదుపాయాల విస్తరణ

వెబ్‌వార్మ్ యొక్క ఇటీవలి ప్రచారాలు, బెల్జియం, ఇటలీ, సెర్బియా, పోలాండ్ మరియు స్పెయిన్‌లోని ప్రభుత్వ సంస్థలతో పాటు దక్షిణాఫ్రికాలోని ఒక విశ్వవిద్యాలయంతో సహా యూరోపియన్ లక్ష్యాలపై దాని దృష్టి పెరుగుతున్నట్లు చూపిస్తున్నాయి.

అదే సమయంలో, ఈ ముప్పు కలిగించే వ్యక్తి ట్రోచిలస్ మరియు 9002 RAT వంటి పాత మాల్వేర్ కుటుంబాలను దశలవారీగా తొలగించి, వాటి స్థానంలో కస్టమ్ ప్రాక్సీ ఫ్రేమ్‌వర్క్‌లు మరియు టన్నెలింగ్ టూల్స్‌ను ఉపయోగిస్తున్నట్లు కనిపిస్తోంది. ఈ బృందంతో సంబంధం ఉన్న అదనపు యుటిలిటీలలో iox, WormFrp, ChainWorm, SmuxProxy, మరియు WormSocket ఉన్నాయి. హ్యాక్ చేయబడిన ఒక అమెజాన్ S3 బకెట్ నుండి WormFrp కాన్ఫిగరేషన్ డేటాను తిరిగి పొందుతుందని పరిశోధకులు కనుగొన్నారు.

ఈ ప్రాక్సీ టూల్స్ కమ్యూనికేషన్‌లను ఎన్‌క్రిప్ట్ చేయడానికి మరియు అంతర్గత, బాహ్య సిస్టమ్‌ల మధ్య చైన్డ్ కనెక్షన్‌లకు మద్దతు ఇవ్వడానికి రూపొందించబడ్డాయి. ఇవి దాడి చేసేవారికి తమ కార్యకలాపాలను దాచిపెడుతూనే, ట్రాఫిక్‌ను అనేక హోస్ట్‌ల ద్వారా మళ్లించడానికి వీలు కల్పిస్తాయి. దాడి చేసేవారి కదలికలను మరింతగా మరుగుపరచడానికి మరియు పట్టును మెరుగుపరచడానికి ఈ టూల్స్‌ను తరచుగా సాఫ్ట్‌ఈథర్ VPNతో కలిపి ఉపయోగిస్తారని విశ్లేషకులు భావిస్తున్నారు.

డిస్కార్డ్ ఆధారిత కమాండ్ కార్యకలాపం కార్యాచరణ స్థాయిని వెల్లడిస్తుంది

ఎకోక్రీప్ ఉపయోగించిన డిస్కార్డ్ మౌలిక సదుపాయాల విశ్లేషణలో, కమాండ్ ట్రాఫిక్ కనీసం మార్చి 21, 2024 నాటిదని వెల్లడైంది. పరిశోధకులు హానికరమైన డిస్కార్డ్ ఆధారిత C2 వాతావరణం ద్వారా ప్రసారం చేయబడిన 433 సందేశాలను గుర్తించారు, ఇవి 50 కంటే ఎక్కువ ప్రత్యేక లక్ష్యాలను ప్రభావితం చేశాయి.

ఖచ్చితమైన ప్రారంభ యాక్సెస్ పద్ధతి ఇంకా తెలియకపోయినప్పటికీ, వెబ్‌వార్మ్ ఆపరేటర్లు డిర్‌సెర్చ్ మరియు న్యూక్లియై వంటి ఓపెన్-సోర్స్ నిఘా మరియు దోపిడీ సాధనాలను చురుకుగా ఉపయోగిస్తున్నారని పరిశోధకులు కనుగొన్నారు. ఈ యుటిలిటీలను వెబ్ సర్వర్ డైరెక్టరీలను బ్రూట్-ఫోర్స్ చేయడానికి, బహిర్గతమైన ఫైల్‌లను గుర్తించడానికి మరియు దోపిడీకి గురయ్యే బలహీనతల కోసం స్కాన్ చేయడానికి ఉపయోగిస్తారు.

వెబ్‌వార్మ్‌ను అంతరిక్ష దొంగలతో ముడిపెట్టే బలహీనమైన సాక్ష్యం

కొన్ని కార్యాచరణ సారూప్యతలు ఉన్నప్పటికీ, వెబ్‌వార్మ్ మరియు స్పేస్ పైరేట్స్ క్లస్టర్ మధ్య సంబంధం ఇంకా నిర్ధారించబడలేదని పరిశోధకులు హెచ్చరిస్తున్నారు. ఈ రెండు ముప్పు సమూహాల మధ్య ఖచ్చితమైన సంబంధాన్ని స్థాపించడానికి తగినంత సాక్ష్యం లేనందున, ప్రస్తుత సారూప్యత ప్రధానంగా బహిరంగంగా అందుబాటులో ఉన్న RATల వాడకం మరియు భాగస్వామ్య టూలింగ్ నమూనాలకు మాత్రమే పరిమితమైనట్లు కనిపిస్తోంది.