Çinli ‘Webworm’ bilgisayar korsanlığı grubu, eski kötü amaçlı yazılımları yeni saldırılarda özelleştirmeyi deniyor, muhtemelen atıftan kaçınmak ve operasyon maliyetlerini azaltmak.
Webworm, en az 2017’den beri aktif olan ve daha önce Rusya, Gürcistan ve Moğolistan’daki BT firmaları, havacılık ve elektrik enerjisi sağlayıcılarına yönelik saldırılarla bağlantılı bir siber casusluk kümesidir.
göre Symantec tarafından raporBroadcom Software’in bir parçası olarak, tehdit aktörleri şu anda Asya’daki BT hizmet sağlayıcılarına karşı, muhtemelen etkinliklerini belirlemek için çeşitli değiştirilmiş Uzaktan Erişim Truva Atlarını (RAT’ler) test ediyor.
Yeni bir görevde eski kötü amaçlı yazılım
Bugün Webworm tarafından kullanılan RAT’ler çoktan unutulmuştur ve kaynakları uzun yıllardır dolaşmaktadır. Bununla birlikte, güvenlik araçları, kaçınma, şaşırtma ve analiz karşıtı hileleri geçerli kaldığı için bunları hala kolayca algılamıyor.
Ayrıca, geniş dolaşımda olan ve çeşitli rastgele bilgisayar korsanları tarafından dağıtılan eski RAT’leri kullanmak, Webworm’un operasyonlarını gizlemesine ve başkalarının faaliyetleriyle uyum sağlamasına yardımcı olarak güvenlik analistlerinin işini çok daha zor hale getirir.
Yeni Webworm operasyonlarında kullanılan ilk eski kötü amaçlı yazılım, ilk olarak 2015 yılında vahşi doğada ortaya çıkan ve şimdi GitHub aracılığıyla ücretsiz olarak kullanılabilen Trochilus RAT’dir.
Trochilus’a eklenen bir değişiklik, yapılandırmasını artık bir dizi sabit kodlanmış dizini kontrol ederek bir dosyadan yükleyebilmesidir.
Test edilen ikinci tür, önceki on yılda devlet destekli aktörler arasında popüler bir kötü amaçlı yazılım olan ve belleğe enjekte etme ve gizlice çalışma yeteneği nedeniyle takdir edilen 9002 RAT’dir.
Webworm, modern trafik analiz araçlarına karşı algılamadan kaçınmaya yardımcı olmak için 9002 RAT’ın iletişim protokolüne daha güçlü şifreleme ekledi.
Gözlenen saldırılarda kullanılan üçüncü aile, ilk olarak 2008’de tespit edilen ve birden fazla APT’nin geçmişteki küresel siber casusluk operasyonlarında defalarca kullandığı Gh0st RAT’dir.
Gh0st RAT, birçoğu Webworm’un sürümünde tutulan birkaç gizleme, UAC atlama, kabuk kodu açma ve bellek içi başlatma katmanlarına sahiptir.
Mayıs 2022 tarihli bir Positive Technologies raporu, değiştirilmiş kötü amaçlı yazılım olarak adlandırıldı.Tapu RAT“Symantec, “Uzay Korsanları” adını verdikleri Çinli bir gruba atıfta bulunarak, bunun büyük olasılıkla Webworm ile aynı grup olduğunu söylüyor.
Esasen Gh0st RAT’ın değiştirilmiş bir versiyonu olan Deed RAT’ın yeni özelliklerinden biri, TCP, TLS, HTTP, HTTPS, UDP ve DNS dahil olmak üzere birden fazla protokolü destekleyen çok yönlü bir C2 iletişim sistemidir.
Space Pirates ve Webworm farklı gruplar olsa bile, Çinli aktörlerin izlerini gizlemek ve geliştirme maliyetlerini azaltmak için kötü amaçlı yazılımları paylaştığı biliniyor.