Webworm-Hacker nutzen Windows-basierte RATs für Cyberspionage
Ein als Webworm identifizierter Bedrohungsakteur nutzt Windows-basierte Remote-Access-Trojaner für Cyberspionage.
Das Symantec Threat Hunter-Team identifizierte Fälle, in denen es der Angreifer auf einen IT-Dienstleister abgesehen hatte, der in mehreren asiatischen Ländern tätig ist. Die Forscher identifizierten auch drei RATs, die von den Angreifern verwendet wurden.
"Die Gruppe hat angepasste Versionen von drei älteren Remote-Access-Trojanern (RATs) entwickelt, darunter Trochilus RAT, Gh0st RAT und 9002 RAT", so das Threat Hunter-Team.
Die Backdoors werden mit chinesischen Bedrohungsakteuren wie Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) und Judgment Panda (APT31) und anderen in Verbindung gebracht.
Webworm ist seit 2017 aktiv. Zu den Malware-Angriffsketten gehört die Verwendung von Dropper-Malware, die einen Loader enthält, der modifizierte Versionen der Trochilus-, Gh0st- und 9002-Trojaner für den Fernzugriff startet. Die meisten Änderungen dienen dazu, die Erkennung zu umgehen.
"Die Verwendung angepasster Versionen älterer und in einigen Fällen quelloffener Malware durch Webworm sowie Code-Überschneidungen mit der als Space Pirates bekannten Gruppe lassen vermuten, dass es sich um dieselbe Bedrohungsgruppe handeln könnte. Die gemeinsame Verwendung dieser Art von Tools und der Austausch von Tools zwischen Gruppen in dieser Region kann jedoch die Spuren verschiedener Bedrohungsgruppen verwischen. Dies ist wahrscheinlich einer der Gründe, warum dieser Ansatz gewählt wird, ein anderer sind die Kosten, da die Entwicklung von ausgefeilter Malware sowohl finanziell als auch zeitlich teuer sein kann", so die Forscher.
Der Webworm-Bedrohungsakteur weist taktische Überschneidungen mit einem anderen neuen Angreifer auf, der als Space Pirates identifiziert wurde. Space Pirates überschneidet sich in seiner Tätigkeit mit bereits identifizierten chinesischen Spionageaktivitäten wie Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Colorful Panda (TA428) und Night Dragon. Die Verbindung zu diesen Gruppen ist aufgrund der gemeinsamen Verwendung von modularen Post-Exploitation-RATs wie PlugX und ShadowPad möglich.
Es ist wichtig, dass Unternehmen die neueste Version aller verwendeten Softwareanwendungen verwenden. Jede Sicherheitslücke sollte auch gepatcht werden.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.