Siber güvenlik araştırmacıları, Webworm adlı grubun yeni faaliyetlerini ve kullandığı gelişmiş yöntemleri ortaya çıkardı. Grup, hükümetleri hedef alan saldırılarında açık kaynaklı araçlar ve yeni arka kapılar kullanıyor.
Güvenlik analisti Eric Howard tarafından yapılan açıklamada, Webworm'un potansiyel ilk erişim tekniklerine dair bilgilerin, açık kaynaklı bir güvenlik açığı tarayıcısı kullanılarak elde edildiği belirtildi. Elde edilen komutlar ve odaklanılan hedefler doğrultusunda grubun faaliyetleri hakkında fikir edinildi.
Araştırmacılar, Webworm'un 2025 yılındaki kampanyalarını EchoCreep adlı arka kapıya atfetti. Bu arka kapı, komuta ve kontrol (C&C) iletişimi için Discord mesajlarını kullanıyor. Elde edilen bilgiler, saldırganların GitHub deposuna yönlendirdi. Bu depoda, SoftEther VPN uygulaması gibi hazırlanmış araçlar bulundu. SoftEther yapılandırma dosyasında, bilinen bir Webworm IP adresiyle eşleşen bir IP adresi tespit edildi.
Webworm'un en son araçları arasında EchoCreep (Discord tabanlı) ve GraphWorm (Microsoft Graph tabanlı) adlı iki yeni arka kapı bulunuyor. Tehdit aktörleri, mevcut proxy çözümlerinin yanı sıra WormFrp, ChainWorm, SmuxProxy ve WormSockete özel yeni proxy çözümleri de geliştirdi. Bu proxy araçlarının sayısı ve karmaşıklığı, Webworm'un kurbanları aracılığıyla çok daha büyük bir gizli ağ oluşturabileceği ihtimalini güçlendiriyor.
GraphWorm arka kapısı, C&C iletişimi için Microsoft Graph API'yi kullanıyor. Güvenlik araştırmacıları, bu yazılımın özellikle yeni görevleri almak ve kurban bilgilerini yüklemek amacıyla yalnızca OneDrive uç noktalarını kullandığını ortaya çıkardı.
Eric Howard, Webworm'un 2025 kampanyalarını araştırırken, özel proxy çözümü WormFrp'yi kullanarak Amazon Web Services (AWS) üzerinde bulunan ve S3'ün basit depolama hizmeti anlamına gelen, güvenliği ihlal edilmiş bir AWS S3 bucket yapılandırmaları elde etmeye başladığını keşfettiklerini belirtti. Görünüşe göre Webworm, bu S3 bucket aracılığıyla veri sızdırma işlemlerinden yararlanırken, masum kurbanlar hizmetin faturalarını ödüyor.
