Исследователи компании Symantec сообщили о новой тактике, взятой на вооружение хакерами китайской группировки, известной под названием Webworm. Она известна с 2017 года и ранее отметилась атаками на IT-компании, предприятия аэрокосмической индустрии и энергетической отрасли в России, Грузии и Монголии. Основной целью хакеров является кибершпионаж, что позволяет предположить связь группировки с властями.

Согласно сообщению Symantec, в последнее время группировка Webworm провела серию атак на IT-провайдеров ряда азиатских стран. Примечательным является то, что в атаках использованы троянцы удаленного доступа (Remote Access Trojans – RATs), являющиеся весьма старыми и хорошо известными. Их исходный код давно существует в открытом доступе и хорошо изучен специалистами по кибербезопасности. Однако эти старые зловреды по-прежнему являются достаточно эффективными и детектируются не всеми защитными решениями. С другой стороны, они, в силу своей доступности, они используются множеством киберпреступников самого разного уровня и с самыми разными целями. Эксперты предполагают, что таким образом Webworm стремится достичь сразу двух целей: провести эффективные атаки и замести следы, максимально скрыв свою причастность к инцидентам.

Одним из используемых хакерами зловредов явлется Trochilus RAT, впервые появившийся еще в 2015 году и в настоящее время доступный для загрузки на GitHub. Другой «ветеран» вредоносного ПО, чьи услуги вновь оказались востребованы – троянец 9002 RAT, весьма популярный в прошлом десятилетии из за способности внедряться непосредственно в память и максимально скрывать свою активность. Третий зловред – троянец Gh0st RAT, известный еще с 2008 года. При этом хакеры Webworm внесли изменения во все вредоносные инструменты, в частности, снабдив их более надежным шифрованием. Специалисты Symantec полагают, что нынешняя активность Webworm является своего рода «пробным шаром», и в случае успеха тактика использования старого вредоносного ПО может начать применяться киберпреступниками намного активнее.