Les pirates de Webworm utilisent des RAT basés sur Windows pour le cyberespionnage
Un acteur de la menace identifié comme Webworm utilise des chevaux de Troie d'accès à distance basés sur Windows à des fins de cyberespionnage.
L'équipe Symantec Threat Hunter a identifié des cas où l'attaquant a ciblé un fournisseur de services informatiques opérant dans plusieurs pays d'Asie. Les chercheurs ont également identifié trois RAT utilisés par l'attaquant.
"Le groupe a développé des versions personnalisées de trois anciens chevaux de Troie d'accès à distance (RAT), notamment Trochilus RAT, Gh0st RAT et 9002 RAT", indique l'équipe de Threat Hunter.
Ces portes dérobées sont associées à des acteurs chinois de la menace tels que Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) et Judgment Panda (APT31), entre autres.
Webworm est actif depuis 2017. Les chaînes d'attaque du malware comprennent l'utilisation d'un malware dropper qui abrite un chargeur conçu pour lancer des versions modifiées des trojans d'accès à distance Trochilus, Gh0st et 9002. La plupart des modifications sont destinées à échapper à la détection.
"L'utilisation par Webworm de versions personnalisées de logiciels malveillants plus anciens et dans certains cas open source, ainsi que les chevauchements de code avec le groupe connu sous le nom de Space Pirates, suggèrent qu'il pourrait s'agir du même groupe de menaces. Cependant, l'utilisation commune de ces types d'outils et l'échange d'outils entre les groupes de cette région peuvent masquer les traces de groupes de menaces distincts, ce qui est probablement l'une des raisons pour lesquelles cette approche est adoptée, une autre étant le coût, car le développement de logiciels malveillants sophistiqués peut être coûteux en termes d'argent et de temps", ont déclaré les chercheurs.
L'acteur de la menace Webworm présente des chevauchements tactiques avec un autre nouvel adversaire identifié comme Space Pirates. Dans le cadre de ses opérations, Space Pirates croise des activités d'espionnage chinoises précédemment identifiées, telles que Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Colorful Panda (TA428) et Night Dragon. Sa connexion à ces groupes est possible en raison de l'utilisation partagée de RAT modulaires post-exploitation tels que PlugX et ShadowPad.
Il est important que les organisations utilisent la dernière version de toutes les applications logicielles utilisées. Chaque vulnérabilité doit également être corrigée.
Les sources de cet article comprennent un article de TheHackerNews.