Webworm APT
Các nhà nghiên cứu an ninh mạng đã xác định được các hoạt động mới liên quan đến nhóm tin tặc Webworm, có liên hệ với Trung Quốc, nhấn mạnh việc triển khai các phần mềm độc hại tùy chỉnh tinh vi lợi dụng Discord và API Microsoft Graph để liên lạc điều khiển và kiểm soát (C2). Hoạt động mới nhất phản ánh sự phát triển rộng hơn trong chiến lược hoạt động của nhóm, nhấn mạnh vào tính bí mật, cơ sở hạ tầng dựa trên máy chủ proxy và việc lạm dụng các nền tảng hợp pháp để tránh bị phát hiện.
Mục lục
Một mối đe dọa dai dẳng nhắm vào các lĩnh vực trọng yếu
Được ghi nhận công khai lần đầu tiên vào tháng 9 năm 2022, Webworm được cho là đã hoạt động ít nhất từ năm đó. Nhóm này liên tục nhắm mục tiêu vào các tổ chức chính phủ và các doanh nghiệp hoạt động trong các lĩnh vực như dịch vụ CNTT, hàng không vũ trụ và điện lực. Các nạn nhân đã được xác định trên khắp Nga, Georgia, Mông Cổ và một số quốc gia châu Á.
Nhóm tin tặc này trước đây thường dựa vào các phần mềm độc hại truy cập từ xa như Trochilus RAT, Gh0st RAT và 9002 RAT, còn được gọi là Hydraq hoặc McRat. Các nhà phân tích an ninh cũng đã liên kết hoạt động của nhóm này với một số cụm máy chủ liên quan đến Trung Quốc, bao gồm FishMonger, SixLittleMonkeys và Space Pirates. Trong số đó, SixLittleMonkeys gây chú ý vì sử dụng Gh0st RAT và họ phần mềm độc hại Mikroceen để tấn công các thực thể ở Trung Á, Belarus, Nga và Mông Cổ.
Chuyển hướng sang các hoạt động bí mật hơn
Trong hai năm qua, Webworm đã dần chuyển hướng khỏi các khung phần mềm độc hại truyền thống để tập trung vào các tiện ích proxy hoạt động lén lút và các công cụ mạng bán hợp pháp. Sự chuyển đổi này dường như được thiết kế để giảm thiểu rủi ro bị phát hiện trong khi vẫn duy trì quyền truy cập liên tục trong các môi trường bị xâm nhập.
Vào năm 2025, nhóm này đã bổ sung hai lỗ hổng bảo mật mới vào kho vũ khí của mình:
EchoCreep sử dụng Discord cho các hoạt động điều khiển từ xa và hỗ trợ truyền tệp cũng như thực thi lệnh từ xa thông qua cmd.exe.
GraphWorm, một phần mềm cấy ghép tiên tiến hơn, giao tiếp thông qua API Microsoft Graph và cho phép người vận hành tạo các phiên cmd.exe mới, khởi chạy các tiến trình, tải lên và tải xuống các tệp thông qua Microsoft OneDrive, và tự chấm dứt quá trình thực thi của chính nó khi nhận được lệnh từ người vận hành.
Các nhà nghiên cứu cũng quan sát thấy việc sử dụng kho lưu trữ GitHub được ngụy trang thành một bản sao WordPress để chứa các phần mềm độc hại và các tiện ích như SoftEther VPN. Chiến thuật này cho phép cơ sở hạ tầng độc hại hòa lẫn vào hoạt động phát triển hợp pháp, làm phức tạp các nỗ lực phát hiện. Việc sử dụng SoftEther VPN phù hợp với các phương pháp đã được nhiều nhóm gián điệp mạng Trung Quốc áp dụng trước đây.
Mở rộng phạm vi địa lý và cơ sở hạ tầng ủy quyền
Các chiến dịch gần đây của Webworm cho thấy sự tập trung ngày càng tăng vào các mục tiêu ở châu Âu, bao gồm các tổ chức chính phủ tại Bỉ, Ý, Serbia, Ba Lan và Tây Ban Nha, cũng như một trường đại học ở Nam Phi.
Đồng thời, nhóm tin tặc dường như đang loại bỏ dần các họ phần mềm độc hại cũ như Trochilus và 9002 RAT để chuyển sang sử dụng các khung proxy tùy chỉnh và công cụ đường hầm. Các tiện ích khác liên quan đến nhóm này bao gồm iox, WormFrp, ChainWorm, SmuxProxy và WormSocket. Các nhà điều tra phát hiện ra rằng WormFrp thu thập dữ liệu cấu hình từ một thùng lưu trữ Amazon S3 bị xâm nhập.
Các công cụ proxy này được thiết kế để mã hóa thông tin liên lạc và hỗ trợ các kết nối chuỗi giữa các hệ thống nội bộ và bên ngoài, cho phép kẻ tấn công định tuyến lưu lượng truy cập qua nhiều máy chủ trong khi che giấu hoạt động. Các nhà phân tích tin rằng các công cụ này thường được kết hợp với SoftEther VPN để che giấu thêm các hoạt động của kẻ tấn công và tăng cường khả năng duy trì quyền truy cập.
Hoạt động chỉ huy dựa trên Discord cho thấy quy mô hoạt động.
Phân tích cơ sở hạ tầng Discord được EchoCreep sử dụng cho thấy lưu lượng lệnh có từ ít nhất ngày 21 tháng 3 năm 2024. Các nhà nghiên cứu đã xác định được 433 tin nhắn được truyền qua môi trường C2 dựa trên Discord độc hại, ảnh hưởng đến hơn 50 mục tiêu khác nhau.
Mặc dù phương thức truy cập ban đầu chính xác vẫn chưa được biết, các nhà điều tra đã phát hiện ra rằng những kẻ điều hành Webworm tích cực sử dụng các công cụ trinh sát và khai thác mã nguồn mở như dirsearch và nuclei. Các tiện ích này được sử dụng để tấn công vét cạn các thư mục máy chủ web, xác định các tệp bị lộ và quét các lỗ hổng có thể khai thác.
Bằng chứng yếu ớt liên kết Webworm với cướp biển không gian
Mặc dù có một số điểm tương đồng về phương thức hoạt động, các nhà nghiên cứu cảnh báo rằng mối liên hệ giữa Webworm và nhóm Space Pirates vẫn chưa được chứng minh rõ ràng. Sự trùng lặp hiện tại dường như chủ yếu giới hạn ở việc sử dụng các phần mềm RAT có sẵn công khai và các mô hình công cụ chung, với bằng chứng không đủ để thiết lập mối quan hệ chắc chắn giữa hai nhóm tội phạm mạng này.
