Un gruppo di hacker noti con il nome di Webworm è stato collegato a trojan di accesso remoto che sfruttano il sistema operativo Windows, alcuni dei quali si dice siano in fase di pre-distribuzione o comunque di test.
“Il gruppo ha sviluppato versioni personalizzate di tre vecchi trojan di accesso remoto (RAT), inclusi Trochilus RAT, Gh0st RAT e 9002 RAT“, ha affermato il team di Symantec Threat Hunter, parte di Broadcom Software.
Webworm: come usano i RAT, chi attaccano e come agiscono
La società di sicurezza informatica ha affermato che almeno uno degli indicatori di compromissione (IOC) è stato utilizzato in un attacco contro un fornitore di servizi IT che opera in più paesi asiatici, simile a come visto in una notizia di qualche giorno fa, proprio ad opera degli Webworm.
Vale la pena sottolineare che tutte e tre le backdoor sono principalmente associate ad alcuni hacker di matrice cinese come Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) e Judgment Panda (APT31), tra gli altri, sebbene questi trojan siano stati utilizzato da altri gruppi di hacking.
Symantec ha affermato che l’attore della minaccia Webworm mostra sovrapposizioni tattiche con un altro nuovo collettivo contraddittorio documentato da Positive Technologies all’inizio di maggio come Space Pirates, già coinvolti nel colpire con malware infrastrutture aerospaziali russe.
Space Pirates, da parte sua, si collega con l’attività di spionaggio cinese precedentemente identificata nota come Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Colorful Panda (TA428) e Night Dragon a causa dell’uso condiviso di vari moduli, RAT modulari, come PlugX e ShadowPad.
Altri strumenti nel suo arsenale di malware includono Zupdax, Deed RAT, e alcune versioni modificate di Gh0st RAT che corrispondono rispettivamente ai nomi di BH_A006 e MyKLoadClient.
Webworm, attivo dal 2017, ha un track record di attacchi ad agenzie governative e imprese coinvolte nei servizi IT, aerospaziale e nei settori dell’energia elettrica con sede in Russia, Georgia, Mongolia e diverse altre nazioni asiatiche.
La serie di attacchi implica l’uso di malware dropper che ospita un “caricatore” (loader, tipo quello che si usava ai tempi di Windows 7 per capirci, chi vuole intendere intenda…) progettato per avviare versioni modificate di trojan di accesso remoto Trochilus, Gh0st e 9002. La maggior parte delle modifiche ha lo scopo di eludere il rilevamento, ha affermato la società di sicurezza informatica, osservando che l’accesso iniziale si ottiene tramite l’ingegneria sociale con documenti esca.
“L’uso che ne fa Webworm di versioni personalizzate di malware più vecchi e, in alcuni casi, open source, così come le sovrapposizioni di codice [nel senso di collaborazione con un altro gruppo] con il gruppo noto come Space Pirates, suggeriscono che potrebbero essere lo stesso gruppo [ma con nomi diversi]“, hanno affermato i ricercatori.
“Tuttavia, l’uso comune di questi tipi di strumenti e lo scambio di strumenti tra i gruppi in questa regione può oscurare le tracce di gruppi di minacce distinti, che è probabilmente uno dei motivi per cui viene adottato questo approccio, un altro dei costi, in quanto lo sviluppo di sofisticati il malware può essere costoso sia in termini di denaro che di tempo.”
Perché questo gruppo non si programma daccapo il codice?
Se hai un po’ di esperienza (anche blanda) di programmazione, forse sai che programmare non è una cosa che si fa da un giorno all’altro.
Infatti non è assolutamente inusuale che gli sviluppatori di un programma qualsiasi si affidino a delle librerie preesistenti che dopo si prodigano di modificare.
Gli attacchi hacker su questo non fanno eccezione: in alcuni casi per essere hacker come gli Webworm in questo caso è necessario avere almeno delle piccole basi di programmazione oltre che di linguaggi di markup (tipo HTML).
