Компанія ESET — лідер у галузі інформаційної безпеки — попереджає, що пов’язана з Китаєм APT-група Webworm розширила вектор своїх атак та тепер націлюється не лише на країни Азії, а й на державні установи Бельгії, Італії, Польщі, Сербії та Іспанії.
Зокрема з минулого року група зловмисників застосовує бекдори, що використовують Discord та Microsoft Graph API для з'єднання з командним сервером. Дослідники ESET розшифрували понад 400 повідомлень Discord та виявили сервер зловмисників для збору інформації про понад 50 цілей.
Інформація також привела спеціалістів ESET до репозиторію Webworm на GitHub, який містив підроблені програми, такі як додаток SoftEther VPN. У конфігураційному файлі SoftEther було виявлено IP-адресу, яка збігається з відомою IP-адресою Webworm.
«У ході аналізу спеціалістам ESET вдалося відновити виконані з сервера команди, які дають можливість зрозуміти техніки отримання початкового доступу за допомогою сканера уразливостей із відкритим кодом, а також виявити декілька об’єктів атак», — пояснює Ерік Говард, дослідник ESET.
Група використовує два нових бекдори: EchoCreep, що базується на Discord, та GraphWorm на основі Microsoft Graph. Бекдор EchoCreep використовує Discord для завантаження файлів, надсилання звітів про роботу та отримання команд. GraphWorm використовує Microsoft Graph API для з’єднання з командним сервером. Дослідники ESET виявили, що останній бекдор використовує виключно робочі станції OneDrive, зокрема для отримання нових завдань та завантаження інформації про жертв.
Хоча зловмисники продовжували використовувати існуючі проксі-рішення, вони також додали власні — WormFrp, ChainWorm, SmuxProxy та WormSocket. Зважаючи на кількість проксі-інструментів та їхню складність, Webworm потенційно наразі створює набагато більшу приховану мережу для здійснення масштабних атак.
Група також продовжує розміщувати файли на GitHub, і, ймовірно, робитиме це надалі, тож варто подбати про надійний захист корпоративних мереж від актуальних загроз за допомогою всебічного підходу до безпеки.
Більш детальну інформацію про групу Webworm та її шкідливу активність читайте за посиланням.