Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los hackers de Webworm utilizan RAT basadas en Windows para el ciberespionaje
3 de octubre de 2022 - Equipo de relaciones públicas de TuxCare
Un actor de amenazas identificado como Webworm está utilizando troyanos de acceso remoto basados en Windows para el ciberespionaje.
El equipo de Symantec Threat Hunter identificó casos en los que el atacante tenía como objetivo un proveedor de servicios informáticos que operaba en varios países asiáticos. Los investigadores también identificaron tres RAT utilizadas por el atacante.
"El grupo ha desarrollado versiones personalizadas de tres troyanos de acceso remoto (RAT) más antiguos, como Trochilus RAT, Gh0st RAT y 9002 RAT", afirma el equipo de Threat Hunter.
Las puertas traseras están asociadas a actores de amenazas chinos como Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) y Judgment Panda (APT31), entre otros.
Webworm lleva activo desde 2017. Las cadenas de ataques de malware incluyen el uso de malware dropper que aloja un cargador diseñado para lanzar versiones modificadas de los troyanos de acceso remoto Trochilus, Gh0st y 9002. La mayoría de las modificaciones están destinadas a evadir la detección.
"El uso por parte de Webworm de versiones personalizadas de malware más antiguo y, en algunos casos, de código abierto, así como los solapamientos de código con el grupo conocido como Space Pirates, sugieren que puede tratarse del mismo grupo de amenazas. Sin embargo, el uso común de este tipo de herramientas y el intercambio de las mismas entre los grupos de esta región puede ocultar el rastro de grupos de amenazas distintos, lo que probablemente sea una de las razones por las que se adopta este enfoque, otra es el coste, ya que desarrollar malware sofisticado puede ser costoso tanto en dinero como en tiempo", afirman los investigadores.
El actor de la amenaza Webworm presenta solapamientos tácticos con otro nuevo adversario identificado como Space Pirates. Como parte de su operación, Space Pirates se cruza con actividades de espionaje chinas identificadas previamente, como Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Colorful Panda (TA428) y Night Dragon. Su conexión con estos grupos es posible debido al uso compartido de RAT modulares post-explotación como PlugX y ShadowPad.
Es importante que las organizaciones utilicen la última versión de todas las aplicaciones de software en uso. También deben parchearse todas las vulnerabilidades.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
