Webworm APT
Az ESET Research elemzése szerint a kínai kötődésű Webworm APT-csoport jelentősen továbbfejlesztette eszköztárát és rejtőzködési módszereit. A kutatók szerint a csoport egyre kevésbé támaszkodik klasszikus malware-ekre, és inkább legitim infrastruktúrákat, VPN-technológiákat és living off the land technikákat használ hosszú távú hozzáférések fenntartására.
A jelentés egyik legfontosabb megállapítása, hogy a Webworm fokozatosan áttért a SoftEther VPN használatára. A korábbi, jól felismerhető backdoorok helyett a támadók ma már VPN Bridge és relay funkciókat alkalmaznak kompromittált rendszereken, így a hálózati kommunikáció legitim távoli adminisztrációs forgalomnak tűnhet. Ez különösen veszélyes kormányzati és kritikus infrastruktúrákat érintő környezetekben, mert a támadók hónapokig fenntarthatják hozzáférésüket minimális láthatóság mellett.
Az ESET szerint a Webworm műveletei jól illeszkednek a modern kínai APT-trendekhez, a hangsúly már nem a gyors kompromittáláson, hanem az előretolt, rejtett infrastruktúra kiépítésén van. A támadók kompromittált edge eszközöket, VPN-szervereket és proxyhálózatokat használnak pivotpontként, miközben legitim rendszereszközökkel hajtanak végre laterális mozgást és adatgyűjtést. A cél elsősorban hírszerzés és hosszú távú hozzáférések fenntartása állami és stratégiai célpontokban.
A kutatás szerint a Webworm fejlődése jól mutatja, hogy az APT-csoportok egyre inkább a alacsony zsajszintű műveletek irányába mozdulnak el. A modern támadásoknál már nem feltétlenül a malware a legfontosabb elem, hanem az identitások, a legitim adminisztrációs csatornák és a normál hálózati viselkedés mögé rejtett perzisztencia.
