Ein bekannter chinesischer Bedrohungsakteur recycelt alte Malware (öffnet in neuem Tab)um der Entdeckung zu entgehen, Kosten zu senken und Forscher auf eine wilde Verfolgungsjagd zu schicken.
Einem Bericht von Symantec zufolge hat die als Webworm bekannte Gruppe mindestens drei uralte Malware-Varianten (und mit „uralt“ meinen wir von 2008 bis 2017) verwendet, sie ein wenig modifiziert und dann gegen IT-Dienstleister getestet in Asien, um zu sehen, wie sie funktionieren.
Angesichts des Alters der Malware schaffen sie es manchmal, unter Antivirus zu fliegen (öffnet in neuem Tab) Lösungen Radar, fügten sie hinzu.
Heimliche RATTEN
Die erste heißt Trochilus RAT, ist seit mindestens 2015 im Umlauf und auf GitHub frei verfügbar.
Es wurde zuerst entdeckt, als es Menschen angriff, die eine myanmarische Website besuchten. Webworm hat es so optimiert, dass es seine Konfiguration aus einer Datei laden kann, indem es eine Reihe von fest codierten Verzeichnissen eincheckt. Es wurde auch gesagt, dass es die Fähigkeit hat, sich seitlich über Endpunkte hinweg zu bewegen (öffnet in neuem Tab) im Zielnetz, für besseren Zugriff. Der zweite ist 9002 RAT, ein heimlicher Remote-Access-Trojaner, der jetzt eine bessere Verschlüsselung für sein Kommunikationsprotokoll erhalten hat, wodurch er noch schwieriger zu erkennen ist.
Der dritte schließlich heißt Gh0st RAT, ein 14 Jahre alter Trojaner, der jetzt mit „mehreren Verschleierungsebenen, UAC-Umgehung, Shellcode-Entpacken und In-Memory-Start“ ausgestattet ist.
Obwohl es schwierig ist, genau zu sagen, welcher Bedrohungsakteur hinter der Wiederbelebung von Webworm steckt, scheint Symantec zu glauben, dass es sich um dieselbe Gruppe wie Space Pirates handelt – ein chinesischer Bedrohungsakteur, der im Mai dieses Jahres von Positive Technologies entdeckt wurde. Damals analysierte Positive Technologies Gh0st RAT und nannte es Deed RAT.
Auf jeden Fall ist Webworm eine bekannte cyberkriminelle Gruppe, die mindestens seit 2017 aktiv ist. In der Vergangenheit wurde die Gruppe mit verschiedenen Angriffen auf IT-Unternehmen, Luft- und Raumfahrtorganisationen sowie elektrische Energieversorger in Russland, Georgien und Russland in Verbindung gebracht Mongolei.
Über: Piepender Computer (öffnet in neuem Tab)