Китайская группировка WebWorm экспериментирует, переписывая старые вредоносы на новый лад

Согласно отчету компании Symantec, хакеры тестируют модифицированные версии старых вредоносов, используя их в атаках против азиатских поставщиков IT-услуг. Эксперты предполагают, что таким образом злоумышленники хотят достичь двух целей сразу – снизить расходы на разработку новых вредоносных программ.

Трояны удаленного доступа (RAT), используемые в последних атаках группировки WebWorm, давно забыты, а их исходный код гуляет в интернете много лет. Тем не менее, они все еще остаются актуальными, поскольку не все системы безопасности могут легко обнаружить их из-за особых механизмов защиты от анализа, обфускации кода и различных способов обхода антивирусного ПО.

А так как старые трояны еще и очень популярны среди хакеров всех мастей, WebWorm получает отличную маскировку, просто “смешиваясь с толпой”, что сильно усложняет задачу ИБ-аналитикам.

Первым старым RAT, использованным в последних кибератаках Webworm, стал Trochilus RAT, впервые появившийся в дикой природе в 2015 году, а сейчас

Первой старой вредоносной программой, использованной в новых операциях Webworm, стала Trochilus RAT, которая впервые появилась в дикой природе в 2015 году и сейчас находится в свободном доступе через GitHub. Модификацией этого трояна стала новая функция – вредонос теперь умеет загружать свою конфигурацию из файла, проверяя набор жестко закодированных каталогов.

Вторая модифицированный троян – 9002 RAT, который стоял на вооружении у государственных хакеров прошлого десятилетия, ценивших 9002 за крайне высокий уровень скрытности. Webworm добавили трояну более надежное шифрование в коммуникационный протокол, чтобы вредонос лучше избегал современные инструменты анализа трафика.

Третьим модифицированным вредоносом стал Gh0st RAT, впервые замеченный в 2008 году. В свое время этот троян был крайне популярен у кибершпионов по всему миру. На его основе была построена новая вредоносная программа – BH_A006.

Стоит отметить, что специалисты Positive Technologies обнаружили новый троян под названием Deed RAT, который напрямую связан с группировкой Space Pirates. У Deed RAT универсальная система связи с C&C-инфраструктурой, поддерживающая множество протоколов, включая TCP, TLS, HTTP, HTTPS, UDP и DNS.

Эксперты из Symantec утверждают, что Webworm и Space Pirates – одна и та же группировка. Однако, даже если это и не так, то специалистам давно известно, что китайские хакеры обмениваются вредоносным ПО, чтобы скрыть свой след и сократить расходы на разработку.