Siber güvenlik alanında dünya lideri olan ESET, başlangıçta Asya'daki kuruluşları
hedef alan ancak son zamanlarda odağını Avrupa'ya kaydıran Çin bağlantılı bir
gelişmiş kalıcı tehdit grubu (APT) olan Webworm'un 2025 yılındaki faaliyetlerini
analiz etti. ESET, Webworm'un Belçika, İtalya, Polonya, Sırbistan ve İspanya'daki
devlet kurumlarını hedef aldığını gözlemledi. Webworm aynı zamanda Güney
Afrika'ya da girerek yerel bir üniversiteyi ele geçirdi.

Geçen yıldan bu yana grup, C&C iletişimi için Discord ve Microsoft Graph API'sini
kullanan arka kapılar kullanıyor. ESET araştırmacıları 400'den fazla Discord
mesajının şifresini çözdü ve 50'den fazla benzersiz hedefe karşı keşif amacıyla
kullanılan, saldırgan tarafından işletilen bir sunucu keşfetti.

Webworm'un son faaliyetlerini ortaya çıkaran ESET araştırmacısı Eric Howard Analizimiz
sayesinde, açık kaynaklı bir güvenlik açığı tarayıcısı kullanarak grubun
potansiyel ilk erişim tekniklerine ilişkin bir fikir veren bir sunucudan yürütülen
komutları kurtarmayı başardık ve odaklandığı hedeflerin bazılarını tespit
ettik açıklamasını yaptı. ESET, EchoCreep arka kapısının C&C iletişimi için kullandığı
Discord mesajlarının şifresini çözdükten sonra elde ettiği bilgilere
dayanarak 2025 kampanyasını Webworm'a atfetti. Bu bilgiler, araştırmacıları saldırganların
GitHub deposuna yönlendirdi, bu depoda SoftEther VPN uygulaması gibi
hazırlanmış araçlar bulunuyordu. SoftEther yapılandırma dosyasında, bilinen bir
Webworm IP adresiyle eşleşen bir IP adresi bulundu.

En son araçlarının başında iki yeni arka kapı geliyor: Discord tabanlı EchoCreep
ve Microsoft Graph tabanlı GraphWorm. Tehdit aktörleri mevcut proxy çözümlerini
kullanmaya devam ederken WormFrp, ChainWorm, SmuxProxy ve WormSocket'e özel proxy
çözümleri de eklediler. Proxy araçlarının sayısı ve karmaşıklığına bakıldığında,
Webworm kurbanları proxy'lerini çalıştırmaya ikna ederek çok daha büyük
bir gizli ağ oluşturuyor olabilir. Buna ek olarak, Webworm, Discord ve Microsoft
Graph API'yi komuta ve kontrol (C&C) kanalları olarak kullanmaya başladı. EchoCreep
arka kapısı, dosya yüklemek, çalışma zamanı raporları göndermek ve komut
almak için Discord'u kullanıyor. GraphWorm ise C&C iletişimi için Microsoft Graph
API'yi kullanıyor, ESET araştırmacıları, bu yazılımın özellikle yeni görevleri
almak ve kurban bilgilerini yüklemek amacıyla yalnızca OneDrive uç noktalarını
kullandığını ortaya çıkardı.

ESET araştırmacısı Eric Howard açıklamasında şu bilgilere yer verdi: 2025 kampanyalarını
araştırırken Webworm'un, Amazon Web Services'te bulunan ve S3'ün basit
depolama hizmeti anlamına geldiği bir genel bulut depolama çözümü olan, güvenliği
ihlal edilmiş bir AWS S3 bucket yapılandırmaları almak için özel proxy çözümü
WormFrp'yi kullanmaya başladığını keşfettik. Görünüşe göre Webworm, bu S3 bucket
aracılığıyla veri sızdırma işlemlerinden yararlanırken masum kurbanlar hizmetin
faturasını ödüyor.

Aralık 2025 ile Ocak 2026 arasında operatörler, hizmete 20 yeni dosya yükledi, bunlardan
ikisi İspanya'daki bir devlet kurumundan sızdırılmıştı.

Grup ayrıca GitHub'da dosya yayımlamaya devam ediyor ve ESET, gelecekte de bunu
sürdüreceklerini varsayıyor.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -