Webworm APT
Дослідники з кібербезпеки виявили поновлені операції, пов'язані з пов'язаною з Китаєм групою загроз, відомою як Webworm, підкреслюючи розгортання складних спеціалізованих бекдорів, які зловживають Discord та API Microsoft Graph для комунікацій командування та управління (C2). Остання активність відображає ширшу еволюцію в операційній стратегії групи, з акцентом на прихованості, інфраструктурі на основі проксі-серверів та зловживанні легітимними платформами для уникнення виявлення.
Зміст
Постійна загроза, спрямована на критично важливі сектори
Вперше публічно задокументований у вересні 2022 року, Webworm, як вважається, проявляє активність щонайменше з того року. Група постійно атакує державні установи та підприємства, що працюють у таких секторах, як ІТ-послуги, аерокосмічна галузь та електроенергетика. Жертви були виявлені в Росії, Грузії, Монголії та кількох азійських країнах.
Зловмисник традиційно покладався на трояни віддаленого доступу, зокрема Trochilus RAT, Gh0st RAT та 9002 RAT, також відомий як Hydraq або McRat. Аналітики безпеки також пов'язують діяльність групи з кількома кластерами, пов'язаними з Китаєм, включаючи FishMonger, SixLittleMonkeys та Space Pirates. Серед них SixLittleMonkeys привернула увагу використанням Gh0st RAT та сімейства шкідливих програм Mikroceen проти організацій у Центральній Азії, Білорусі, Росії та Монголії.
Перехід до більш прихованих операцій
Протягом останніх двох років Webworm поступово відійшов від традиційних фреймворків шкідливого програмного забезпечення на користь прихованих проксі-утиліт та напівлегітимних мережевих інструментів. Цей перехід, схоже, спрямований на зниження ризиків виявлення, водночас забезпечуючи постійний доступ у скомпрометованих середовищах.
У 2025 році група ввела до свого арсеналу два нещодавно виявлених бекдори:
EchoCreep, який використовує Discord для операцій командного контролю та підтримує передачу файлів разом із віддаленим виконанням команд через cmd.exe.
GraphWorm — більш просунутий імплантат, який взаємодіє через API Microsoft Graph і дозволяє операторам створювати нові сеанси cmd.exe, запускати процеси, завантажувати та вивантажувати файли через Microsoft OneDrive, а також завершувати власне виконання після отримання інструкцій оператора.
Дослідники також спостерігали використання репозиторію GitHub, маскованого під форк WordPress, для розміщення корисних даних та утиліт шкідливого програмного забезпечення, таких як SoftEther VPN. Ця тактика дозволяє шкідливій інфраструктурі поєднуватися з легітимною діяльністю розробників, ускладнюючи виявлення. Використання SoftEther VPN узгоджується з методами, які раніше застосовували багато китайських груп кібершпигунства.
Розширення географічного охоплення та інфраструктури проксі-серверів
Нещодавні кампанії Webworm демонструють дедалі більшу увагу до європейських цілей, зокрема урядових організацій у Бельгії, Італії, Сербії, Польщі та Іспанії, а також університету, розташованого в Південній Африці.
Водночас, схоже, що зловмисник поступово відмовляється від старих сімейств шкідливих програм, таких як Trochilus та 9002 RAT, на користь користувацьких проксі-фреймворків та інструментів тунелювання. Додаткові утиліти, пов'язані з цією групою, включають iox, WormFrp, ChainWorm, SmuxProxy та WormSocket. Слідчі виявили, що WormFrp отримує дані конфігурації зі скомпрометованого кошика Amazon S3.
Ці проксі-інструменти розроблені для шифрування зв'язку та підтримки ланцюгових з'єднань між внутрішніми та зовнішніми системами, що дозволяє зловмисникам маршрутизувати трафік через кілька хостів, приховуючи операційну активність. Аналітики вважають, що ці інструменти часто поєднуються з VPN SoftEther для подальшого маскування переміщень зловмисників та підвищення стійкості.
Діяльність командування на основі Discord розкриває оперативний масштаб
Аналіз інфраструктури Discord, яку використовує EchoCreep, показав, що трафік команд датується щонайменше 21 березня 2024 року. Дослідники виявили 433 повідомлення, передані через шкідливе середовище C2 на базі Discord, які вплинули на понад 50 унікальних цілей.
Хоча точний метод початкового доступу залишається невідомим, слідчі виявили, що оператори Webworm активно використовують інструменти розвідки та експлуатації з відкритим кодом, такі як dirsearch та nuclei. Ці утиліти використовуються для перебору каталогів веб-сервера, ідентифікації вразливих файлів та сканування на наявність вразливостей, що можуть бути використані.
Слабкі докази зв’язку веб-хробака з космічними піратами
Незважаючи на певну операційну схожість, дослідники застерігають, що зв'язок між Webworm та кластером Space Pirates залишається непереконливим. Поточний збіг, схоже, обмежується переважно використанням загальнодоступних RAT та спільних шаблонів інструментів, при цьому недостатньо доказів для встановлення остаточного зв'язку між цими двома групами загроз.
