Một tác nhân đe dọa được theo dõi dưới biệt danh Webworm đã được liên kết với các trojan truy cập từ xa dựa trên Windows được đặt riêng, một số trong số đó được cho là đang trong giai đoạn trước khi triển khai hoặc thử nghiệm.
“Nhóm đã phát triển các phiên bản tùy chỉnh của ba trojan truy cập từ xa (RAT) cũ hơn, bao gồm Trochilus RAT, Gh0st RAT và 9002 RAT”, nhóm Symantec Threat Hunter, thuộc Broadcom Software, cho biết trong một báo cáo được chia sẻ với The Hacker News.
Công ty an ninh mạng cho biết ít nhất một trong những dấu hiệu của sự xâm phạm (IOC) đã được sử dụng trong một cuộc tấn công nhằm vào một nhà cung cấp dịch vụ CNTT hoạt động ở nhiều quốc gia châu Á.
Cần chỉ ra rằng cả ba backdoor chủ yếu liên quan đến các tác nhân đe dọa trung quốc như Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) và Judgement Panda (APT31), trong số những người khác, mặc dù chúng đã đưa vào sử dụng bởi các nhóm hack khác.
Symantec cho biết tác nhân của mối đe dọa Webworm thể hiện sự trùng lặp chiến thuật với một tập thể đối thủ mới khác được ghi lại bởi Positive Technologies vào đầu tháng 5 này là Space Pirates, được phát hiện là các thực thể nổi bật trong ngành hàng không vũ trụ Nga với phần mềm độc hại mới.
Space Pirates, về phần mình, giao thoa với hoạt động gián điệp của Trung Quốc đã được xác định trước đó là Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Colorful Panda (TA428) và Night Dragon do sử dụng chung mô-đun hậu khai thác RAT như PlugX và ShadowPad.
Các công cụ khác trong kho phần mềm độc hại của nó bao gồm Zupdax, Deed RAT, một phiên bản sửa đổi của Gh0st RAT được gọi là BH_A006 và MyKLoadClient.
Webworm, hoạt động từ năm 2017, có thành tích về các cơ quan chính phủ và doanh nghiệp nổi bật liên quan đến các ngành dịch vụ CNTT, hàng không vũ trụ và năng lượng điện đặt tại Nga, Georgia, Mông Cổ và một số quốc gia châu Á khác.
Chuỗi tấn công liên quan đến việc sử dụng phần mềm độc hại nhỏ giọt chứa một trình tải được thiết kế để khởi chạy các phiên bản đã sửa đổi của trojan truy cập từ xa Trochilus, Gh0st và 9002. Công ty an ninh mạng cho biết hầu hết các thay đổi đều nhằm tránh bị phát hiện.
Các nhà nghiên cứu cho biết: “Việc sử dụng các phiên bản tùy chỉnh cũ hơn và trong một số trường hợp mã nguồn mở, phần mềm độc hại, cũng như mã trùng lặp với nhóm được gọi là Space Pirates, cho thấy chúng có thể là cùng một nhóm mối đe dọa”.
“Tuy nhiên, việc sử dụng phổ biến các loại công cụ này và việc trao đổi công cụ giữa các nhóm trong khu vực này có thể che khuất dấu vết của các nhóm mối đe dọa riêng biệt. Đây có thể là một trong những lý do tại sao cách tiếp cận này được áp dụng, một lý do khác là chi phí, vì sự phát triển phức tạp phần mềm độc hại có thể tốn kém cả về tiền bạc và thời gian. “
.
