Takma ad altında izlenen bir tehdit aktörü Web kurdu bazılarının dağıtım öncesi veya test aşamasında olduğu söylenen, radar altında uçmak için halihazırda var olan Windows tabanlı uzaktan erişim truva atlarının ısmarlama türevlerinden yararlanıyor.
“Grup, üç eski uzaktan erişim truva atının (RAT) özelleştirilmiş sürümlerini geliştirdi. Trochilus Sıçan, hayalet SıÇve 9002 SıçanBroadcom Software’in bir parçası olan Symantec Threat Hunter ekibi, söz konusu The Hacker News ile paylaşılan bir raporda.
Siber güvenlik firması, birden fazla Asya ülkesinde faaliyet gösteren bir BT hizmet sağlayıcısına yönelik bir saldırıda uzlaşma göstergelerinden (IOC) en az birinin kullanıldığını söyledi.
Her üç arka kapının da öncelikle Taş Panda (APT10), Aurora Panda (APT17), Elçi Panda (APT27) ve Yargı Panda (APT31) gibi Çinli tehdit aktörleriyle ilişkili olduğunu belirtmekte fayda var. diğer bilgisayar korsanlığı grupları tarafından kullanılmaya başlandı.
Symantec, Webworm tehdit aktörünün, bu Mayıs ayının başlarında Positive Technologies tarafından belgelenen başka bir yeni hasım kolektifi ile taktiksel örtüşmeler sergilediğini söyledi. uzay korsanlarıRus havacılık endüstrisinde yeni kötü amaçlı yazılımlarla çarpıcı varlıklar bulundu.
Uzay Korsanları, kendi adına, sömürü sonrası ortak kullanımı nedeniyle Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Renkli Panda (TA428) ve Night Dragon olarak bilinen daha önce tanımlanmış Çin casusluk faaliyeti ile kesişiyor. modüler RAT’ler PlugX ve ShadowPad gibi.
Kötü amaçlı yazılım cephanesindeki diğer araçlar arasında Zupdax, Deed RAT, Gh0st RAT’ın BH_A006 olarak bilinen değiştirilmiş bir sürümü ve MyKLoadClient bulunur.
2017’den beri aktif olan Webworm, Rusya, Gürcistan, Moğolistan ve diğer birkaç Asya ülkesinde bulunan BT hizmetleri, havacılık ve elektrik enerjisi endüstrilerinde yer alan çarpıcı devlet kurumları ve işletmelerinin bir geçmişine sahiptir.
Saldırı zincirleri, Trochilus, Gh0st ve 9002 uzaktan erişim truva atlarının değiştirilmiş sürümlerini başlatmak için tasarlanmış bir yükleyiciyi barındıran damlalıklı kötü amaçlı yazılımların kullanımını içerir. Siber güvenlik firması, değişikliklerin çoğunun tespitten kaçınmayı amaçladığını ve ilk erişimin sahte belgelerle sosyal mühendislik yoluyla sağlandığını belirtti.
Araştırmacılar, “Webworm’un daha eski ve bazı durumlarda açık kaynaklı, kötü amaçlı yazılımların özelleştirilmiş sürümlerini kullanması ve ayrıca Space Pirates olarak bilinen grupla kod çakışmaları, bunların aynı tehdit grubu olabileceğini gösteriyor” dedi.
“Ancak, bu tür araçların ortak kullanımı ve bu bölgedeki gruplar arasında araç alışverişi, farklı tehdit gruplarının izlerini gizleyebiliyor, bu da muhtemelen bu yaklaşımın benimsenmesinin nedenlerinden biri, bir diğeri ise karmaşık geliştirmeler olarak maliyettir. kötü amaçlı yazılım hem para hem de zaman açısından pahalı olabilir.”