Webworm RAT Hacker

Gruppo hacker Webworm utilizza RAT modificati per spionaggio informatico

Webworm un gruppo hacker relativamente noto usa dei RAT modificati per un recente attacco di spionaggio informatico, ma come agisce questo gruppo?

Un gruppo di hacker noti con il nome di Webworm è stato collegato a trojan di accesso remoto che sfruttano il sistema operativo Windows, alcuni dei quali si dice siano in fase di pre-distribuzione o comunque di test.

Il gruppo ha sviluppato versioni personalizzate di tre vecchi trojan di accesso remoto (RAT), inclusi Trochilus RAT, Gh0st RAT e 9002 RAT“, ha affermato il team di Symantec Threat Hunter, parte di Broadcom Software.

Webworm: come usano i RAT, chi attaccano e come agiscono

La società di sicurezza informatica ha affermato che almeno uno degli indicatori di compromissione (IOC) è stato utilizzato in un attacco contro un fornitore di servizi IT che opera in più paesi asiatici, simile a come visto in una notizia di qualche giorno fa, proprio ad opera degli Webworm.

Vale la pena sottolineare che tutte e tre le backdoor sono principalmente associate ad alcuni hacker di matrice cinese come Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) e Judgment Panda (APT31), tra gli altri, sebbene questi trojan siano stati utilizzato da altri gruppi di hacking.

Webworm RAT Hacker
Dato che la sigla RAT, in inglese vuol dire “RATTO” non è inusuale trovare questo tipo di iconografia per rappresentare il RAT

Symantec ha affermato che l’attore della minaccia Webworm mostra sovrapposizioni tattiche con un altro nuovo collettivo contraddittorio documentato da Positive Technologies all’inizio di maggio come Space Pirates, già coinvolti nel colpire con malware infrastrutture aerospaziali russe.

Space Pirates, da parte sua, si collega con l’attività di spionaggio cinese precedentemente identificata nota come Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Colorful Panda (TA428) e Night Dragon a causa dell’uso condiviso di vari moduli, RAT modulari, come PlugX e ShadowPad.

Webworm RAT Hacker

Altri strumenti nel suo arsenale di malware includono Zupdax, Deed RAT, e alcune versioni modificate di Gh0st RAT che corrispondono rispettivamente ai nomi di BH_A006 e MyKLoadClient.

Webworm, attivo dal 2017, ha un track record di attacchi ad agenzie governative e imprese coinvolte nei servizi IT, aerospaziale e nei settori dell’energia elettrica con sede in Russia, Georgia, Mongolia e diverse altre nazioni asiatiche.

La serie di attacchi implica l’uso di malware dropper che ospita un “caricatore” (loader, tipo quello che si usava ai tempi di Windows 7 per capirci, chi vuole intendere intenda…) progettato per avviare versioni modificate di trojan di accesso remoto Trochilus, Gh0st e 9002. La maggior parte delle modifiche ha lo scopo di eludere il rilevamento, ha affermato la società di sicurezza informatica, osservando che l’accesso iniziale si ottiene tramite l’ingegneria sociale con documenti esca.

Webworm RAT Hacker
Effettivamente essendo RAT la sigla di “Remote Access Trojan”, il RAT di fatto si infiltra silenziosamente in casa, come un…. RATTO

L’uso che ne fa Webworm di versioni personalizzate di malware più vecchi e, in alcuni casi, open source, così come le sovrapposizioni di codice [nel senso di collaborazione con un altro gruppo] con il gruppo noto come Space Pirates, suggeriscono che potrebbero essere lo stesso gruppo [ma con nomi diversi]“, hanno affermato i ricercatori.

Tuttavia, l’uso comune di questi tipi di strumenti e lo scambio di strumenti tra i gruppi in questa regione può oscurare le tracce di gruppi di minacce distinti, che è probabilmente uno dei motivi per cui viene adottato questo approccio, un altro dei costi, in quanto lo sviluppo di sofisticati il malware può essere costoso sia in termini di denaro che di tempo.

Perché questo gruppo non si programma daccapo il codice?

Se hai un po’ di esperienza (anche blanda) di programmazione, forse sai che programmare non è una cosa che si fa da un giorno all’altro.

Infatti non è assolutamente inusuale che gli sviluppatori di un programma qualsiasi si affidino a delle librerie preesistenti che dopo si prodigano di modificare.

Gli attacchi hacker su questo non fanno eccezione: in alcuni casi per essere hacker come gli Webworm in questo caso è necessario avere almeno delle piccole basi di programmazione oltre che di linguaggi di markup (tipo HTML).

Cosa ne penso di questa tipologia di trojan? Hai esperienze dirette (o indirette) di attacco o (perché no) addirittura di sviluppo?

Fai sentire la tua voce sui commenti.

Sottoscrivi
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti
0
in iCrewPlay diamo spazio al tuo pensiero! Commenta!x
()
x
Condividi su facebook
CONDIVIDI