Blue Team

Görünmez Ağlar: Webworm'un Discord ve Microsoft Graph Üzerinden Kurduğu Yeni Arka Kapılar

Çin destekli APT grubu Webworm, radar altından uçmak için taktik değiştirdi. Geleneksel zararlı yazılımları terk eden grup, kurumsal ağlarda kalıcılık sağlamak için Discord ve Microsoft Graph API'yi kullanan EchoCreep ve GraphWorm adlı iki yeni backdoor geliştirdi.

Görünmez Ağlar: Webworm'un Discord ve Microsoft Graph Üzerinden Kurduğu Yeni Arka Kapılar

Kurumsal ağlara sızan Çin destekli tehdit aktörlerinden Webworm, siber istihbarat raporlarına göre hedef ve taktiklerini tamamen güncelledi. 2022'den beri aktif olduğu bilinen ve önceleri Asya, Rusya, Gürcistan ile Moğolistan'daki BT hizmetleri, havacılık ve enerji sektörlerini hedef alan grup; artık odak noktasını Avrupa ülkelerindeki (Belçika, İtalya, Sırbistan, İspanya, Polonya) hükümet kuruluşlarına ve Güney Afrika'daki yerel bir üniversiteye çevirmiş durumda. ESET araştırmacılarının yayınladığı son bulgular, saldırganların Trochilus ve McRat (9002 RAT) gibi geleneksel zararlı yazılımları terk ettiğini, bunun yerine 2025 yılında cephaneliklerine ekledikleri iki yeni arka kapı (EchoCreep ve GraphWorm) ile doğrudan yasal platformları silahlandırdığını gösteriyor.

Nasıl Çalışır? Yasal Platformların Silahlaştırılması

Saldırganların geleneksel imza tabanlı güvenlik sistemlerinden kaçınarak kurduğu bu yeni C2 (Komuta Kontrol) zinciri şu adımlardan oluşuyor:

Kişisel Not / Analiz: Adli Bilişimin (Forensics) Karşılaştığı Yeni Evrim

Bu vakada Incident Response süreçlerini en çok zorlayacak kısım; saldırganların ağ tünelleme araçları ve yasal bulut servislerini bir "ortadaki adam" (middleman) gibi kullanarak tam bir hayalet mimarisi kurmasıdır.

Webworm sadece Discord ve Microsoft ile yetinmiyor; WormFrp, ChainWorm, SmuxProxy ve WormSocket gibi özel proxy araçlarını SoftEther VPN gibi (yarı) yasal SOCKS proxy'leriyle birleştirerek izlerini mükemmel bir şekilde örtüyor. Hatta Vultr ve IT7 Networks tarafından kontrol edilen bulut sunucularını altyapı olarak kullandıkları ve WormFrp aracılığıyla konfigürasyon dosyalarını ele geçirilmiş bir Amazon S3 paketinden (bucket) çektikleri görülüyor. Defansif bir analist için, standart bir iş akışı gibi görünen Microsoft veya Discord trafiğinin içinde gizlenen bu asimetrik tehdidi yakalamak oldukça zorlu bir sınavdır.

Çözüm ve Mitigasyon:

Webworm'un bu casusluk odaklı taktikleri, kurumsal ağların en derinlerine inmeyi hedefliyor. Bu gelişmiş C2 yapısına karşı reaktif kalmak yerine SOC ekiplerinin acilen proaktif adımlar atması şarttır:

Author

AltaySec Medya

Siber güvenlik operasyonları ve Red Team kültürü içerisinde bilgi yönetimi yapan çekirdek yayın ekibi. #OffensiveKnowledge