Webworm APT
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุถึงปฏิบัติการใหม่ที่เชื่อมโยงกับกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากจีนซึ่งรู้จักกันในชื่อ Webworm โดยเน้นการใช้งานแบ็กดอร์แบบกำหนดเองที่ซับซ้อนซึ่งใช้ประโยชน์จาก Discord และ Microsoft Graph API สำหรับการสื่อสารควบคุมและสั่งการ (C2) กิจกรรมล่าสุดนี้สะท้อนให้เห็นถึงวิวัฒนาการที่กว้างขึ้นในกลยุทธ์การปฏิบัติงานของกลุ่ม โดยเน้นที่การซ่อนตัว โครงสร้างพื้นฐานแบบพร็อกซี และการใช้แพลตฟอร์มที่ถูกต้องตามกฎหมายในทางที่ผิดเพื่อหลีกเลี่ยงการตรวจจับ
สารบัญ
ภัยคุกคามต่อเนื่องที่มุ่งเป้าไปที่ภาคส่วนสำคัญ
Webworm ถูกเปิดเผยต่อสาธารณะเป็นครั้งแรกในเดือนกันยายน 2022 และเชื่อกันว่ามีการเคลื่อนไหวมาอย่างน้อยตั้งแต่ปีนั้น กลุ่มนี้มุ่งเป้าไปที่สถาบันของรัฐและองค์กรธุรกิจที่ดำเนินงานในภาคส่วนต่างๆ เช่น บริการด้านไอที การบินและอวกาศ และพลังงานไฟฟ้า เหยื่อถูกพบในรัสเซีย จอร์เจีย มองโกเลีย และหลายประเทศในเอเชีย
กลุ่มแฮ็กเกอร์นี้มักใช้มัลแวร์ประเภทโทรจันสำหรับเข้าถึงระยะไกล (Remote Access Trojan) มาโดยตลอด เช่น Trochilus RAT, Gh0st RAT และ 9002 RAT ซึ่งรู้จักกันในชื่อ Hydraq หรือ McRat นักวิเคราะห์ด้านความปลอดภัยยังเชื่อมโยงกิจกรรมของกลุ่มนี้กับกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับจีนหลายกลุ่ม รวมถึง FishMonger, SixLittleMonkeys และ Space Pirates ในบรรดากลุ่มเหล่านี้ SixLittleMonkeys ได้รับความสนใจเป็นพิเศษจากการใช้ Gh0st RAT และตระกูลมัลแวร์ Mikroceen โจมตีหน่วยงานในเอเชียกลาง เบลารุส รัสเซีย และมองโกเลีย
การเปลี่ยนไปสู่ปฏิบัติการที่เน้นความลับมากขึ้น
ในช่วงสองปีที่ผ่านมา Webworm ได้ค่อยๆ เปลี่ยนจากการใช้เฟรมเวิร์กมัลแวร์แบบดั้งเดิม ไปใช้ยูทิลิตี้พร็อกซีที่เน้นการซ่อนตัว และเครื่องมือเครือข่ายกึ่งถูกกฎหมายแทน การเปลี่ยนแปลงนี้ดูเหมือนจะออกแบบมาเพื่อลดความเสี่ยงในการถูกตรวจจับ ในขณะที่ยังคงรักษาการเข้าถึงอย่างต่อเนื่องภายในสภาพแวดล้อมที่ถูกบุกรุก
ในปี 2025 กลุ่มดังกล่าวได้เพิ่มช่องโหว่ลับสองช่องที่เพิ่งค้นพบใหม่เข้าไปในระบบของตน:
EchoCreep เป็นโปรแกรมที่ใช้ Discord ในการควบคุมและสั่งการ รวมถึงรองรับการถ่ายโอนไฟล์และการเรียกใช้คำสั่งจากระยะไกลผ่าน cmd.exe
GraphWorm เป็นมัลแวร์ฝังตัวขั้นสูงที่สื่อสารผ่าน Microsoft Graph API และช่วยให้ผู้ปฏิบัติงานสามารถสร้างเซสชัน cmd.exe ใหม่ เริ่มกระบวนการ อัปโหลดและดาวน์โหลดไฟล์ผ่าน Microsoft OneDrive และยุติการทำงานของตัวเองเมื่อได้รับคำสั่งจากผู้ปฏิบัติงาน
นักวิจัยยังสังเกตเห็นการใช้ที่เก็บข้อมูล GitHub ที่ปลอมตัวเป็น WordPress fork เพื่อโฮสต์มัลแวร์และยูทิลิตี้ต่างๆ เช่น SoftEther VPN กลยุทธ์นี้ทำให้โครงสร้างพื้นฐานที่เป็นอันตรายสามารถผสมผสานเข้ากับกิจกรรมการพัฒนาที่ถูกต้องตามกฎหมาย ทำให้การตรวจจับทำได้ยากขึ้น การใช้ SoftEther VPN สอดคล้องกับวิธีการที่กลุ่มจารกรรมทางไซเบอร์ของจีนหลายกลุ่มเคยใช้มาก่อน
การขยายขอบเขตทางภูมิศาสตร์และโครงสร้างพื้นฐานพร็อกซี
แคมเปญล่าสุดของ Webworm แสดงให้เห็นถึงการมุ่งเน้นเป้าหมายในยุโรปมากขึ้น ซึ่งรวมถึงองค์กรภาครัฐในเบลเยียม อิตาลี เซอร์เบีย โปแลนด์ และสเปน ตลอดจนมหาวิทยาลัยแห่งหนึ่งในแอฟริกาใต้
ในขณะเดียวกัน ดูเหมือนว่ากลุ่มผู้คุกคามกำลังทยอยเลิกใช้ตระกูลมัลแวร์รุ่นเก่า เช่น Trochilus และ 9002 RAT แล้วหันมาใช้เฟรมเวิร์กพร็อกซีและเครื่องมือสร้างอุโมงค์แบบกำหนดเองแทน นอกจากนี้ ยังมีเครื่องมือเสริมอื่นๆ ที่เกี่ยวข้องกับกลุ่มนี้ ได้แก่ iox, WormFrp, ChainWorm, SmuxProxy และ WormSocket ผู้ตรวจสอบพบว่า WormFrp ดึงข้อมูลการกำหนดค่าจาก Amazon S3 bucket ที่ถูกบุกรุก
เครื่องมือพร็อกซีเหล่านี้ได้รับการออกแบบมาเพื่อเข้ารหัสการสื่อสารและรองรับการเชื่อมต่อแบบลูกโซ่ระหว่างระบบภายในและภายนอก ทำให้ผู้โจมตีสามารถกำหนดเส้นทางการรับส่งข้อมูลผ่านโฮสต์หลายตัวในขณะที่ปกปิดกิจกรรมการดำเนินการ นักวิเคราะห์เชื่อว่าเครื่องมือเหล่านี้มักถูกใช้ร่วมกับ SoftEther VPN เพื่อปกปิดการเคลื่อนไหวของผู้โจมตีและเพิ่มประสิทธิภาพในการคงอยู่ของการโจมตีให้ดียิ่งขึ้น
กิจกรรมการสั่งการผ่าน Discord เผยให้เห็นขอบเขตการปฏิบัติงาน
จากการวิเคราะห์โครงสร้างพื้นฐานของ Discord ที่ EchoCreep ใช้ พบว่า การส่งคำสั่งต่างๆ ย้อนกลับไปได้อย่างน้อยถึงวันที่ 21 มีนาคม 2024 นักวิจัยระบุข้อความที่ส่งผ่านสภาพแวดล้อม C2 ที่เป็นอันตรายบน Discord จำนวน 433 ข้อความ ซึ่งส่งผลกระทบต่อเป้าหมายมากกว่า 50 แห่ง
แม้ว่าวิธีการเข้าถึงเริ่มต้นที่แน่ชัดยังคงไม่เป็นที่ทราบแน่ชัด แต่ผู้ตรวจสอบพบว่าผู้ดำเนินการเว็บเวิร์มใช้เครื่องมือสอดแนมและโจมตีแบบโอเพนซอร์ส เช่น dirsearch และ nuclei อย่างแข็งขัน เครื่องมือเหล่านี้ถูกใช้เพื่อโจมตีแบบเดาสุ่มไปยังไดเร็กทอรีของเว็บเซิร์ฟเวอร์ ระบุไฟล์ที่เปิดเผย และสแกนหาช่องโหว่ที่สามารถใช้ประโยชน์ได้
หลักฐานที่เชื่อมโยง Webworm กับ Space Pirates นั้นอ่อนแอมาก
แม้จะมีลักษณะการทำงานที่คล้ายคลึงกันบางประการ นักวิจัยเตือนว่าความเชื่อมโยงระหว่าง Webworm และกลุ่มภัยคุกคาม Space Pirates ยังคงไม่สามารถสรุปได้อย่างแน่ชัด การทับซ้อนในปัจจุบันดูเหมือนจะจำกัดอยู่เพียงการใช้ RAT ที่เปิดเผยต่อสาธารณะและรูปแบบเครื่องมือที่ใช้ร่วมกัน โดยมีหลักฐานไม่เพียงพอที่จะสร้างความสัมพันธ์ที่ชัดเจนระหว่างกลุ่มภัยคุกคามทั้งสองกลุ่ม
