Спеціалісти компанії ESET виявили, що високопрофесійна APT-група Webworm значно розширила свою діяльність, атакуючи тепер державні установи в Бельгії, Італії, Польщі, Сербії та Іспанії. Замість створення підозрілих каналів зв’язку хакери використовують легітимні хмарні сервіси, такі як Discord, GitHub та Microsoft OneDrive.
Працівники ESET, розшифровуючи понад 400 повідомлень у Discord, виявили командний сервер, який збирав інформацію про понад 50 високопоставлених цілей. Вони виявили два нових бекдори, EchoCreep та GraphWorm, що використовуються для завантаження файлів та непомітної передачі даних.
- EchoCreep: Використовує Discord для управління файлами.
- GraphWorm: Задіює офіційний Microsoft Graph API для зв’язку з командним сервером і використання сховищ OneDrive для прокачки інформації.
Окрім цього, хакери поширюють підроблений софт через GitHub під виглядом популярних додатків, таких як SoftEther VPN. Для маскування своєї активності вони розробили кілька проксі-рішень, наприклад, WormFrp та ChainWorm.
“Первинний доступ Webworm отримує через сканування мереж за допомогою відкритих кодів уразливостей.” — Ерік Говард, дослідник ESET
Експерти рекомендують державним відомствам запроваджувати контроль нульової довіри та аналіз мережевого трафіку, щоб уникнути подібних загроз у майбутньому.
