Webworm APT
Siber güvenlik araştırmacıları, Çin'le bağlantılı Webworm olarak bilinen tehdit grubuna ait yenilenen faaliyetleri tespit etti ve Discord ile Microsoft Graph API'sini komuta ve kontrol (C2) iletişimi için kötüye kullanan gelişmiş özel arka kapıların konuşlandırılmasını vurguladı. Son faaliyet, grubun operasyonel stratejisinde daha geniş bir evrimi yansıtıyor ve gizlilik, proxy tabanlı altyapı ve tespit edilmekten kaçınmak için meşru platformların kötüye kullanılmasına odaklanıyor.
İçindekiler
Kritik Sektörleri Hedef Alan Kalıcı Bir Tehdit
İlk kez Eylül 2022'de kamuoyuna açıklanan Webworm'un en az o yıldan beri aktif olduğu düşünülüyor. Grup, sürekli olarak bilişim hizmetleri, havacılık ve elektrik enerjisi gibi sektörlerde faaliyet gösteren devlet kurumlarını ve işletmeleri hedef alıyor. Kurbanlar Rusya, Gürcistan, Moğolistan ve çeşitli Asya ülkelerinde tespit edildi.
Saldırgan, geçmişte Trochilus RAT, Gh0st RAT ve Hydraq veya McRat olarak da bilinen 9002 RAT gibi uzaktan erişim truva atlarına başvurmuştur. Güvenlik analistleri ayrıca grubun faaliyetlerini FishMonger, SixLittleMonkeys ve Space Pirates gibi Çin bağlantılı çeşitli kümelere bağlamıştır. Bunlar arasında SixLittleMonkeys, Orta Asya, Belarus, Rusya ve Moğolistan'daki kuruluşlara karşı Gh0st RAT ve Mikroceen kötü amaçlı yazılım ailesini kullanmasıyla dikkat çekmiştir.
Daha Gizli Operasyonlara Doğru Geçiş
Son iki yılda Webworm, geleneksel kötü amaçlı yazılım çerçevelerinden kademeli olarak uzaklaşarak gizlilik odaklı proxy araçlarına ve yarı meşru ağ araçlarına yöneldi. Bu geçiş, ele geçirilen ortamlarda kalıcı erişimi korurken tespit risklerini azaltmak için tasarlanmış gibi görünüyor.
2025 yılında grup, cephaneliğine yeni tespit edilen iki arka kapı ekledi:
Discord'u komuta ve kontrol işlemleri için kullanan ve cmd.exe aracılığıyla uzaktan komut yürütmenin yanı sıra dosya transferlerini de destekleyen EchoCreep.
GraphWorm, Microsoft Graph API aracılığıyla iletişim kuran ve operatörlerin yeni cmd.exe oturumları oluşturmasına, süreçleri başlatmasına, Microsoft OneDrive üzerinden dosya yükleyip indirmesine ve operatör talimatlarını aldıktan sonra kendi yürütmesini sonlandırmasına olanak tanıyan daha gelişmiş bir implanttır.
Araştırmacılar ayrıca, kötü amaçlı yazılım yüklerini ve SoftEther VPN gibi yardımcı programları barındırmak için WordPress çatalı gibi görünen bir GitHub deposunun kullanıldığını da gözlemledi. Bu taktik, kötü amaçlı altyapının meşru geliştirme faaliyetleriyle karışmasına olanak tanıyarak tespit çabalarını zorlaştırıyor. SoftEther VPN kullanımı, daha önce birçok Çinli siber casusluk grubu tarafından benimsenen yöntemlerle örtüşüyor.
Coğrafi Erişimin ve Vekil Altyapısının Genişletilmesi
Webworm'un son kampanyaları, Belçika, İtalya, Sırbistan, Polonya ve İspanya'daki hükümet kuruluşlarının yanı sıra Güney Afrika'da bulunan bir üniversite de dahil olmak üzere Avrupa hedeflerine yönelik artan bir odaklanmayı göstermektedir.
Aynı zamanda, tehdit aktörünün Trochilus ve 9002 RAT gibi eski kötü amaçlı yazılım ailelerini aşamalı olarak devre dışı bırakarak özel proxy çerçeveleri ve tünelleme araçlarına yöneldiği görülüyor. Grupla ilişkili diğer yardımcı programlar arasında iox, WormFrp, ChainWorm, SmuxProxy ve WormSocket yer alıyor. Araştırmacılar, WormFrp'nin ele geçirilmiş bir Amazon S3 kovasından yapılandırma verilerini aldığını tespit etti.
Bu proxy araçları, iletişimi şifrelemek ve iç ve dış sistemler arasında zincirleme bağlantıları desteklemek üzere tasarlanmıştır; bu sayede saldırganlar, operasyonel faaliyetlerini gizlerken trafiği birden fazla sunucu üzerinden yönlendirebilirler. Analistler, bu araçların saldırgan hareketlerini daha da gizlemek ve kalıcılığı artırmak için sıklıkla SoftEther VPN ile birlikte kullanıldığına inanıyor.
Discord Tabanlı Komuta Faaliyetleri Operasyonel Ölçeği Ortaya Koyuyor
EchoCreep tarafından kullanılan Discord altyapısının analizi, komut trafiğinin en az 21 Mart 2024 tarihine kadar uzandığını ortaya koydu. Araştırmacılar, kötü amaçlı Discord tabanlı C2 ortamı üzerinden iletilen ve 50'den fazla farklı hedefi etkileyen 433 mesaj tespit etti.
Kesin ilk erişim yöntemi bilinmemekle birlikte, araştırmacılar Webworm operatörlerinin dirsearch ve nuclei gibi açık kaynaklı keşif ve istismar araçlarını aktif olarak kullandığını keşfetti. Bu araçlar, web sunucusu dizinlerine kaba kuvvet saldırısı yapmak, açıkta kalan dosyaları belirlemek ve istismar edilebilir güvenlik açıklarını taramak için kullanılıyor.
Webworm'u Uzay Korsanlarıyla Bağlayan Zayıf Kanıtlar
Bazı operasyonel benzerliklere rağmen, araştırmacılar Webworm ile Space Pirates kümesi arasındaki bağlantının henüz kesinleşmediği konusunda uyarıda bulunuyor. Mevcut örtüşme, öncelikle halka açık RAT'ların ve paylaşılan araç kalıplarının kullanımıyla sınırlı görünüyor ve iki tehdit grubu arasında kesin bir ilişki kurmak için yeterli kanıt bulunmuyor.
