Η κινεζική ομάδα hacking «Webworm» πειραματίζεται με την προσαρμογή παλιού κακόβουλου λογισμικού σε νέες επιθέσεις, που είναι πιθανό να αποφύγει την απόδοση και να μειώσει το κόστος λειτουργίας.
Δείτε επίσης: Οι ΗΠΑ κατηγορούν τρεις Ιρανούς για κυβερνοεπιθέσεις σε CNI
Η ομάδα Webworm είναι ένα cluster κυβερνοκατασκοπείας που δραστηριοποιείται τουλάχιστον από το 2017 και έχει συνδεθεί στο παρελθόν με επιθέσεις σε εταιρείες πληροφορικής, αεροδιαστημική και παρόχους ηλεκτρικής ενέργειας στη Ρωσία, τη Γεωργία και τη Μογγολία.
Σύμφωνα με μια έκθεση της Symantec, οι απειλητικοί φορείς δοκιμάζουν επί του παρόντος διάφορα τροποποιημένα Remote Access Trojans (RATs) εναντίον παρόχων υπηρεσιών πληροφορικής στην Ασία, πιθανόν να καθορίσουν την αποτελεσματικότητά τους.
Δείτε επίσης: Seesaw messaging app: Γονείς μαθητών έλαβαν μήνυμα με ακατάλληλη φωτογραφία
Παλιά malware σε νέες αποστολές
Τα RATs που χρησιμοποιεί σήμερα η ομάδα Webworm έχουν ξεχαστεί εδώ και πολλά χρόνια. Ωστόσο, τα εργαλεία ασφαλείας εξακολουθούν να μην τα εντοπίζουν εύκολα.
Η χρήση παλαιότερων RAT που είναι σε ευρεία κυκλοφορία και αναπτύσσονται από διάφορους τυχαίους χάκερ, βοηθά την Webworm να συγκαλύψει τις λειτουργίες του και να τις συνδυάσει με τις δραστηριότητες άλλων, καθιστώντας το έργο των αναλυτών ασφαλείας πολύ πιο δύσκολο.
Το πρώτο παλιό malware που χρησιμοποιείται σε νέες λειτουργίες Webworm είναι το Trochilus RAT, το οποίο εμφανίστηκε για πρώτη φορά το 2015 και είναι πλέον διαθέσιμο δωρεάν μέσω του GitHub.
Μια τροποποίηση που προστέθηκε στο Trochilus είναι ότι μπορεί τώρα να φορτώσει τη διαμόρφωσή του από ένα αρχείο ελέγχοντας ένα σύνολο από hardcoded directories.
Το δεύτερο δοκιμασμένο στέλεχος είναι το 9002 RAT, ένα δημοφιλές malware μεταξύ των φορέων που χρηματοδοτήθηκαν από το κράτος την προηγούμενη δεκαετία, οι οποίοι το εκτιμούσαν για την ικανότητά του να εισαχθεί στη μνήμη και να εκτελείται κρυφά.
Η ομάδα Webworm πρόσθεσε πιο ισχυρή κρυπτογράφηση στο πρωτόκολλο επικοινωνίας του 9002 RAT για να βοηθήσει στην αποφυγή εντοπισμού από σύγχρονα εργαλεία ανάλυσης κυκλοφορίας.
Η τρίτη οικογένεια malware που χρησιμοποιήθηκε στις επιθέσεις που εντοπίστηκαν είναι η Gh0st RAT, η οποία εντοπίστηκε για πρώτη φορά το 2008, την οποία πολλές APTs έχουν χρησιμοποιήσει επανειλημμένα σε προηγούμενες παγκόσμιες επιχειρήσεις κυβερνοκατασκοπείας.
Το Gh0st RAT διαθέτει πολλά επίπεδα obfuscation, UAC bypassing, shellcode unpacking και εκκίνηση στη μνήμη, πολλά από τα οποία διατηρούνται στην έκδοση της ομάδας Webworm.
Μια έκθεση της Positive Technologies από τον Μάιο του 2022 ονόμασε το τροποποιημένο κακόβουλο λογισμικό «Deed RAT», αποδίδοντάς το σε μια κινεζική ομάδα που αποκαλούσαν «Space Pirates». Η Symantec λέει ότι είναι πιθανότατα η ίδια ομάδα με την Webworm.
Ένα από τα νέα χαρακτηριστικά του Deed RAT, το οποίο είναι ουσιαστικά μια τροποποιημένη έκδοση του Gh0st RAT, είναι ένα ευέλικτο σύστημα επικοινωνίας C2 που υποστηρίζει πολλαπλά πρωτόκολλα, συμπεριλαμβανομένων των TCP, TLS, HTTP, HTTPS, UDP και DNS.
Ακόμα κι αν οι Space Pirates και οι Webworm είναι ξεχωριστές ομάδες, οι Κινέζοι χάκερ είναι γνωστό ότι “μοιράζονται” malware για να κρύψουν τα ίχνη τους και να μειώσουν το κόστος ανάπτυξης.
Πηγή πληροφοριών: bleepingcomputer.com
