Broadcomはこのほど、「Webworm: Espionage Attackers Testing and Using Older Modified RATs|Broadcom Software Blogs」において、「Webworm」と呼ばれる脅威グループの活動状況を伝えた。このグループは現在、3つの古い遠隔操作ウイルス(RAT: Remote Administration Tool)の改良版を開発しており、それらのうち少なくとも1つは、アジアの複数の国で事業を展開するITサービスプロバイダーに対する攻撃で使われたことがわかったとう。

  • Webworm: Espionage Attackers Testing and Using Older Modified RATs|Broadcom Software Blogs

    Webworm: Espionage Attackers Testing and Using Older Modified RATs|Broadcom Software Blogs

Webwormは、2022年5月にPositive Technologiesが報告した「Space Pirates」と呼ばれる脅威グループと関連があるとされている。少なくとも2017年から活動しているこの脅威グループはロシア、グルジア、モンゴル、その他多くのアジア諸国に所在するITサービス、航空宇宙、電力産業に関わる政府機関や企業を標的にしていることが確認されている。

現在、Webwormが使用するマルウェアには、次のような3つの古いRATが含まれているという。

  • Trochilus RAT - 2015年に初めて観測された遠隔操作ウイルス。複数の持続的標的型攻撃(APT: Advanced Persistent Threat)グループで使用され、サンドボックスの解析を回避し、サイバースパイ作戦に有用な機能を備えている。
  • 9002 RAT - 少なくとも2009年から使用されており、攻撃者に広範なデータ流出機能を提供する。歴史的に国家的な支援を受けた攻撃者によって使用されている。
  • Gh0st RAT - 2009年にGhostNetと呼ばれるサイバースパイグループが、世界中の外交、政治、経済、軍事的な標的を狙うために使用した遠隔操作ウイルスとして知られている。

Webwormは古いマルウェアやオープンソースのマルウェアをカスタマイズして使用しており、Space Piratesと呼ばれる脅威グループと使用するツールやコードが重複していることから同一視されている。しかしながら、これらツールは複数の脅威グループで一般的に使われ、グループ間でツールやコードを交換することもあるという。そのため、個別の脅威グループの痕跡を不明瞭にさせていると報告している。