Bilinen bir Çinli tehdit aktörü eski kötü amaçlı yazılımları geri dönüştürüyor (yeni sekmede açılır)tespitten kaçınmak, maliyetleri azaltmak ve araştırmacıları vahşi bir kaz kovalamacasına göndermek için.
Symantec’ten bir rapor, Webworm olarak bilinen grubun en az üç eski kötü amaçlı yazılım varyantı kullandığını (ve “antik” ile 2008 – 2017 arasını kastediyoruz), bunları biraz değiştirdiğini ve ardından BT hizmet sağlayıcılarına karşı test ettiğini söylüyor. Asya’da nasıl çalıştıklarını görmek için.
Kötü amaçlı yazılımın yaşı göz önüne alındığında, bazen antivirüs altında uçmayı başarırlar (yeni sekmede açılır) Çözümlerin radarları, diye eklediler.
Gizli RAT’ler
İlki Trochilus RAT, en az 2015’ten beri dolaşımda ve GitHub’da ücretsiz olarak mevcut.
İlk olarak bir Myanmar web sitesini ziyaret eden insanlara saldırdığı keşfedildi. Webworm, bir dizi sabit kodlanmış dizini kontrol ederek yapılandırmasını bir dosyadan yükleyebilmesi için ince ayar yaptı. Ayrıca uç noktalar arasında yanal olarak hareket etme yeteneğine sahip olduğu söylendi. (yeni sekmede açılır) daha iyi erişim için hedef ağda. İkincisi 9002 RAT, artık iletişim protokolü için daha iyi şifreleme elde eden ve tespit edilmesini daha da zorlaştıran gizli bir uzaktan erişim truva atı.
Son olarak, üçüncüsü Gh0st RAT, şimdi “birkaç gizleme katmanı, UAC atlama, kabuk kodu açma ve bellek içi başlatma” ile gelen 14 yaşındaki bir truva atı.
Webworm’un canlanmasının arkasında tam olarak hangi tehdit aktörünün olduğunu bilmek zor olsa da, Symantec, bu yılın Mayıs ayında Positive Technologies tarafından keşfedilen Çinli bir tehdit aktörü olan Space Pirates ile aynı grup olduğuna inanıyor gibi görünüyor. O zamanlar Positive Technologies, Gh0st RAT’ı analiz etti ve buna Deed RAT adını verdi.
Her halükarda Webworm, en az 2017’den beri faaliyette olan bilinen bir siber suçlu grubudur. Geçmişte grup, Rusya, Gürcistan ve Moğolistan.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
