中国と連携した高度な持続的脅威(APT)グループWebwormは、アジアを超えて被害者リストを拡大し、戦術を進化させながらヨーロッパの政府機関に焦点をシフトさせました。
ESET研究者による2025年のWebworm活動の分析では、ベルギー、イタリア、ポーランド、セルビア、スペインの政府機関をターゲットにしていることが判明しました。このグループはサイバースパイ活動で知られています。
5月19日にベルリンで開催されたESET Worldでの講演で、ESET主任脅威研究者ロバート・リポフスキーは、被害者組織間に必ずしも相関がなく、作戦は「半機会的」に見えたと述べました。
ヨーロッパへの進出とともに、Webwormは南アフリカへの進出を行い、地元の大学に侵害を与えました。
Webworm作戦の正確なエントリーポイントは100%明確ではありませんが、リポフスキーは、セルビアの被害者組織の場合、現在廃止されたSquirrelMailウェブメールサービスの脆弱性が攻撃者が初期アクセスを獲得するための可能性の高い方法として特定されたことに注目しました。
Webworm作戦に追加された2つの新しいバックドア
このグループは、DiscordベースのエコークリープとマイクロソフトグラフベースのGraphWormを含む2つの新しいバックドアをデプロイしました。
EchoCreepバックドアはDiscordを使用してファイルをアップロードし、ランタイムレポートを送信し、コマンドを受け取ります。
リポフスキーは、Discordがバックドアとして使用されていることが特定されたのは初めてではないが、確かに非常に一般的ではないと述べました。
GraphWormはマイクロソフトグラフアプリケーションプログラミングインターフェース(API)をコマンドアンドコントロール(C2)通信に使用しています。ESET研究者はまた、それが排他的にOneDriveエンドポイントを使用し、具体的に新しいジョブを取得し、被害者情報をアップロードすることを発見しました。
調査中、チームは400以上のDiscordメッセージを復号化し、50を超える一意のターゲットに対する偵察に使用される攻撃者が運用するサーバーを発見しました。
復号化されたメッセージからの情報は、研究者をSoftEther VPNアプリケーションなどの段階的なアーティファクトを含む攻撃者のGitHubリポジトリに導きました。
SoftEther設定ファイル内で、ESETは既知のWebworm IPと一致するIPアドレスを発見したと述べました。
攻撃者はまたプロキシソリューションを使い続けており、その一部はWormFrp、ChainWorm、SmuxProxy、およびWormSocketに新しく追加されたカスタムプロキシソリューションでした。
プロキシツールの数とその複雑さに基づいて、Webwormは被害者をそのプロキシを実行するように騙すことによってはるかに大きな隠しネットワークを作成している可能性があると、ESETは指摘しました。
ChainWorm要素は、Webwormが利用可能なプロキシのネットワークを拡張するために特別に使用されます。
最後に、WormFrpは侵害されたAmazonウェブサービス(AWS)S3バケットから設定を取得するために使用されてきました。S3バケットを通じて、Webwormはデータ流出を活用することができ、被害者ユーザーはサービスの料金を支払うことができました。
翻訳元: https://www.infosecurity-magazine.com/news/webworm-apt-evolves-tactics/
