Компания Symantec, работающая под руководством Broadcom Software, получила сведения о текущей деятельности группы, которую мы называем Webworm. Эта группа разработала адаптированные версии трех старых троянских программ удаленного доступа (RAT), включая Trochilus, Gh0st RAT и 9002 RAT. По крайней мере, один из индикаторов компрометации (IOC), обнаруженных Symantec, был использован в атаке на поставщика ИТ-услуг, работающего в нескольких азиатских странах, в то время как другие, похоже, находятся на стадии предварительного развертывания или тестирования.
Webworm
Webworm компании Symantec имеет связи с группой под названием Space Pirates, которая ранее была задокументирована в отчете Positive Technologies от мая 2022 года. Вполне вероятно, что эти две группы являются одной и той же.
Webworm действует как минимум с 2017 года и атакует государственные учреждения и предприятия, занятые в сфере ИТ-услуг, аэрокосмической промышленности и электроэнергетики, расположенные в России, Грузии, Монголии и ряде других азиатских стран.
Предыдущие исследования деятельности этой группы показали, что она использует пользовательские загрузчики, скрытые за ложными документами, и модифицированные бэкдоры, которые существуют уже довольно давно. Это соответствует недавней активности Webworm, замеченной Symantec.
Вредоносное ПО, используемое Webworm, включает версии следующих угроз:
Trochilus RAT
Впервые замеченный в 2015 году, Trochilus представляет собой RAT, реализованный на C++, исходный код которого доступен для загрузки на GitHub. Эта вредоносная программа использовалась в целевых угрозах различными группами и имеет функции, которые могут помочь ей обойти анализ песочницы и быть полезной в операциях кибершпионажа. Функции RAT включают, помимо прочего, возможность удаленного удаления файлового менеджера, а также возможность загрузки, выгрузки и выполнения файлов.
Ранее Trochilus был связан с операциями угроз, в которых также использовались такие вредоносные программы, как PlugX и вариант 9002 RAT.
9002 RAT
Вариант 9002 RAT, по всей видимости, используется по меньшей мере с 2009 года и исторически применялся субъектами, спонсируемыми государством. Эта вредоносная программа предоставляет злоумышленникам широкие возможности по эксфильтрации данных. Некоторые варианты 9002 RAT внедряются в память и не записываются на диск, что также относится к образцу, проанализированному Symantec.
Эта вредоносная программа использовалась во многих кампаниях различными субъектами, в том числе в хакерской операции, направленной против нескольких крупных корпораций, расположенных в Южной Корее. RAT использовался для доставки дополнительных вредоносных программ, включая PlugX RAT, на взломанные компьютеры. Он также участвовал в атаках с использованием эксплойтов нулевого дня.
РАТ Gh0st
Хотя исходный код Gh0st RAT был опубликован в Интернете в 2008 году, эта вредоносная программа продолжает использоваться группами постоянных угроз (APT).
Впервые о Gh0st RAT стало известно в 2009 году, когда группа кибершпионажа под названием GhostNet использовала ее для атак на дипломатические, политические, экономические и военные объекты по всему миру.
Indicators of Compromise
SHA256
- 10456bc3b5cfd2f1b1ab9c3833022ef52f5e9733d002ab237bdebad09b125024
- 1cc32c7f2c90a558ba5ff6ba191e655b20d7c65c10af0d5d06820a28c2947efd
- 1e725f1fe67d1a596c9677df69ef5b1b2c29903e84d7b08284f0a767aedcc097
- 28d78e52420906794e4059a603fa9f22d5d6e4479d91e9046a97318c83998679
- 3629d2ce400ce834b1d4b7764a662757a9dc95c1ef56411a7bf38fb5470efa84
- 37fa5108db1ae73475911a5558fba423ef6eee2cf3132e35d3918b9073aeecc1
- 6201c604ac7b6093dc8f6f12a92f40161508af1ddffa171946b876442a66927e
- 6e46054aa9fd5992a7398e0feee894d5887e70373ca5987fc56cd4c0d28f26a1
- 824100a64c64f711b481a6f0e25812332cc70a13c98357dd26fb556683f8a7c7
- a618b3041935ec3ece269effba5569b610da212b1aa3968e5645f3e37d478536
- a6b9975bfe02432e80c7963147c4011a4f7cdb9baaee4ae8d27aaff7dff79c2b
- a73a4c0aa557241a09e137387537e04ce582c989caa10a6644d4391f00a836ef
- b0a58c6c859833eb6fb1c7d8cb0c5875ab42be727996bcc20b17dd8ad0058ffa
- b9a0602661013d973bc978d64b7abb6bed20cf0498d0def3acb164f0d303b646
- c71e0979336615e67006e20b24baafb19d600db94f93e3bf64181478dfc056a8
- d295712185de2e5f8811b0ce7384a04915abdf970ef0f087c294bb00e340afad
- e69177e58b65dd21e0bbe4f6caf66604f120e0c835f3ee0d16a45858f5fe9d90