Broadcom Software 旗下的赛门铁克 Threat Hunter 团队在的一份报告中表示:“该组织开发了三种较旧的远程访问木马 (RAT) 的定制版本,包括Trochilus RAT、Gh0st RAT和9002 RAT”。
这家网络安全公司表示,至少有一个入侵指标 (IOC) 被用于针对在多个亚洲国家运营的 IT 服务提供商的攻击。
值得指出的是,这三个后门主要与中国威胁行为者有关,如 Stone Panda (APT10)、Aurora Panda (APT17)、Emissary Panda (APT27) 和 Judgment Panda (APT31) 等。被其他黑客组织使用。
赛门铁克表示,Webworm 威胁行为者与今年 5 月初 Positive Technologies 记录的另一个新的对抗性团体Space Pirates表现出战术重叠,该团体被发现使用新型恶意软件攻击俄罗斯航空航天业的实体。
就太空海盗而言,由于共享使用后开发模块,它与先前确定的中国间谍活动(称为 Wicked Panda (APT41)、Mustang Panda、Dagger Panda ( RedFoxtrot )、Colorful Panda (TA428) 和 Night Dragon)有交叉RAT,例如PlugX和ShadowPad。
其恶意软件库中的其他工具包括 Zupdax、Deed RAT、称为 BH_A006 的 Gh0st RAT 的修改版本和 MyKLoadClient。
Webworm 自 2017 年以来一直活跃,在俄罗斯、格鲁吉亚、蒙古和其他几个亚洲国家的 IT 服务、航空航天和电力行业有引人注目的政府机构和企业的记录。
攻击链涉及使用 dropper 恶意软件,该恶意软件包含一个加载程序,旨在启动 Trochilus、Gh0st 和 9002 远程访问木马的修改版本。这家网络安全公司表示,大多数更改旨在逃避检测,并指出初始访问是通过带有诱饵文件的社会工程实现的。
研究人员说:“Webworm 使用旧版本的定制版本,在某些情况下是开源的,恶意软件以及代码与被称为 Space Pirates 的组织重叠,这表明它们可能是同一个威胁组织。然而,这些类型工具的共同使用以及该地区团体之间的工具交换可能会掩盖不同威胁团体的踪迹,这可能是采用这种方法的原因之一,另一个原因是成本,因为开发复杂的恶意软件在金钱和时间方面的成本都很高。”
