Çin Bağlantılı Web Solucanı APT Taktiklerini Geliştiriyor, Avrupa Hedeflerine Genişliyor Yazılım

Çin Bağlantılı Web Solucanı APT Taktiklerini Geliştiriyor, Avrupa Hedeflerine Genişliyor

Çin'e bağlı gelişmiş kalıcı tehdit (APT) grubu Webworm, kurban listesini Asya'nın ötesine genişletti ve taktiklerini geliştirirken odak noktasını Avru...

Çin'e bağlı gelişmiş kalıcı tehdit (APT) grubu Webworm, kurban listesini Asya'nın ötesine genişletti ve taktiklerini geliştirirken odak noktasını Avrupa hükümet kuruluşlarına kaydırdı.

ESET araştırmacıları tarafından 2025 yılında yapılan Web Solucanı etkinliği analizi, bunun Belçika, İtalya, Polonya, Sırbistan ve İspanya'daki devlet kuruluşlarını hedef aldığını ortaya çıkardı. Grup siber casusluk kampanyalarıyla tanınıyor.

19 Mayıs'ta Berlin'de düzenlenen ESET World etkinliğinde konuşan ESET'in baş tehdit araştırmacısı Robert Lipovsky, mağdur kuruluşlar arasında mutlaka bir korelasyon olmadığını ve operasyonun "yarı fırsatçı" göründüğünü söyledi.

Webworm, Avrupa'daki girişimlerin yanı sıra yerel bir üniversiteyi tehlikeye atarak Güney Afrika'ya da girdi.

Webkurdu kampanyalarının kesin giriş noktası %100 net olmasa da Lipovsky, Sırp kurban organizasyonu örneğinde, şu anda durdurulan SquirrelMail web posta hizmetindeki bir güvenlik açığının, saldırganın ilk erişim elde etmesinin olası bir yolu olarak tanımlandığını belirtti.

Web Solucanı Kampanyasına İki Yeni Arka Kapı Eklendi

Grup, Discord tabanlı EchoCreep ve Microsoft Graph tabanlı GraphWorm dahil olmak üzere iki yeni arka kapı dağıttı.

Gelecekte Ne Bekleniyor?

EchoCreep arka kapısı, dosyaları yüklemek, çalışma zamanı raporları göndermek ve komutları almak için Discord'u kullanır.

Lipovsky, Discord'un arka kapı olarak kullanıldığı ilk kez tespit edilmediğini ancak bunun kesinlikle çok yaygın olmadığını söyledi.

GraphWorm, komut ve kontrol (C2) iletişimi için Microsoft Graph uygulama programlanabilir arayüzünü (API) kullanır. ESET araştırmacıları ayrıca OneDrive uç noktalarını özellikle yeni işler bulmak ve kurban bilgilerini yüklemek için kullandığını da keşfetti.

Soruşturma sırasında ekip 400'den fazla Discord mesajının şifresini çözdü ve 50'den fazla benzersiz hedefe karşı keşif amacıyla kullanılan, saldırgan tarafından işletilen bir sunucu keşfetti.

Önemli Gelişmeler

Şifresi çözülen mesajlardan elde edilen bilgiler, araştırmacıları saldırganların SoftEther VPN uygulaması gibi aşamalı yapıları içeren GitHub deposuna yönlendirdi.

ESET, SoftEther yapılandırma dosyasının içinde bilinen bir Web Solucanı IP'siyle eşleşen bir IP adresi bulduğunu söyledi.

Teknik Analiz

Saldırganlar ayrıca bazıları WormFrp, ChainWorm, SmuxProxy ve WormSocket'e yeni eklenen özel proxy çözümleri olan proxy çözümlerini kullanmaya devam etti.

ESET, proxy araçlarının sayısına ve bunların karmaşıklığına bağlı olarak, Webworm'un kurbanları proxy'lerini çalıştırmaları için kandırarak çok daha büyük bir gizli ağ oluşturduğunu belirtti.

Sonuç ve Değerlendirme

ChainWorm öğesi özellikle Webworm'un kullanabileceği proxy ağını genişletmek için kullanılır.

Sistem Güvenliği

Son olarak WormFrp, güvenliği ihlal edilmiş bir Amazon Web Services (AWS) S3 klasöründen yapılandırmaları almak için kullanıldı. Webworm, S3 kümesi aracılığıyla veri sızıntısından faydalanmayı başardı ve kurban kullanıcı hizmet için ödeme yapıyor.

Paylaş: