Китайская группировка WebWorm экспериментирует, переписывая старые вредоносы на новый лад

Китайская группировка WebWorm экспериментирует, переписывая старые вредоносы на новый лад

Так злоумышленники пытаются найти самый мощный RAT, тестируя их против азиатских IT-компаний.

image

Согласно отчету компании Symantec, хакеры тестируют модифицированные версии старых вредоносов, используя их в атаках против азиатских поставщиков IT-услуг. Эксперты предполагают, что таким образом злоумышленники хотят достичь двух целей сразу – снизить расходы на разработку новых вредоносных программ.

Трояны удаленного доступа (RAT), используемые в последних атаках группировки WebWorm, давно забыты, а их исходный код гуляет в интернете много лет. Тем не менее, они все еще остаются актуальными, поскольку не все системы безопасности могут легко обнаружить их из-за особых механизмов защиты от анализа, обфускации кода и различных способов обхода антивирусного ПО.

А так как старые трояны еще и очень популярны среди хакеров всех мастей, WebWorm получает отличную маскировку, просто “смешиваясь с толпой”, что сильно усложняет задачу ИБ-аналитикам.

Первым старым RAT, использованным в последних кибератаках Webworm, стал Trochilus RAT, впервые появившийся в дикой природе в 2015 году, а сейчас

Первой старой вредоносной программой, использованной в новых операциях Webworm, стала Trochilus RAT, которая впервые появилась в дикой природе в 2015 году и сейчас находится в свободном доступе через GitHub. Модификацией этого трояна стала новая функция – вредонос теперь умеет загружать свою конфигурацию из файла, проверяя набор жестко закодированных каталогов.

Вторая модифицированный троян – 9002 RAT, который стоял на вооружении у государственных хакеров прошлого десятилетия, ценивших 9002 за крайне высокий уровень скрытности. Webworm добавили трояну более надежное шифрование в коммуникационный протокол, чтобы вредонос лучше избегал современные инструменты анализа трафика.

Третьим модифицированным вредоносом стал Gh0st RAT, впервые замеченный в 2008 году. В свое время этот троян был крайне популярен у кибершпионов по всему миру. На его основе была построена новая вредоносная программа – BH_A006.

Стоит отметить, что специалисты Positive Technologies обнаружили новый троян под названием Deed RAT, который напрямую связан с группировкой Space Pirates. У Deed RAT универсальная система связи с C&C-инфраструктурой, поддерживающая множество протоколов, включая TCP, TLS, HTTP, HTTPS, UDP и DNS.

Эксперты из Symantec утверждают, что Webworm и Space Pirates – одна и та же группировка. Однако, даже если это и не так, то специалистам давно известно, что китайские хакеры обмениваются вредоносным ПО, чтобы скрыть свой след и сократить расходы на разработку.


Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!