2022年のSymantecレポートでの公開デビュー以来、このグループを追跡してきたESET研究者は、ヨーロッパ以上の政府機関を標的としたWebwormの2025年キャンペーンを暴露する新しい調査結果を発表しました。
SixLittleMonkeysやFishMongerを含む他の中国系APTグループに関連しているWebwormは、McRat(9002 RAT)やTrochilusなどの確立されたマルウェアファミリーに歴史的に依存してきました。
2025年には、このグループはそれらの古いツールを完全に放棄し、2つの新しいGoで書かれたバックドアを展開しました:C2にDiscordを使用するEchoCreepと、Microsoft Graph APIを活用するGraphWormです。
ベルギー、イタリア、セルビア、ポーランド、南アフリカの被害者が最新の攻撃波で特定されました。
GraphWormはWindows レジストリ Run キーにエントリを追加することで被害者のマシンに永続化し、すべてのユーザーログイン時に実行を保証します。
初回実行時に、WMIフレームワークを使用してネットワークアダプタのIPアドレス、プロセッサID、物理デバイスシリアル番号を組み合わせることで、一意の被害者IDを生成します。
このIDは、攻撃者のMicrosoft Graph テナント内に専用のOneDriveフォルダを作成するために使用され、ファイル、コマンド結果、キューに入っているオペレータタスクをそれぞれ保存するための3つのサブフォルダ/files、/result、/jobがあります。
すべての通信はOpenSSL EVPライブラリを介してAES-256-CBCを使用して暗号化され、送信前にbase64エンコードされます。
バックドアは、shell(cmd.exeの生成)、exec(プロセスの起動)、upload、download、kill、sleep、およびリバースシェルアクセスを確立する可能性があるkeyExchange関数を含む、広範なオペレータコマンドをサポートします。
大型のシェル出力ファイルの場合、オペレータはMicrosoft Graph APIエンドポイント/createUploadSessionを活用して、OneDriveへの超大型アップロードを処理します。
正常なアップロード後、GraphWormはローカルビーコンファイル(beacon_shell_output.txt)を削除して、その活動の証拠を削除します。
正規のクラウドインフラストラクチャの使用により、GraphWormは特に隠密性に優れ、そのC2トラフィックは通常のMicrosoft 365アクティビティと区別がつかず、エンタープライズネットワークに溶け込み、ネットワークベースの検出を回避するのに役立ちます。
GraphWormと並行して、ESET研究者はEchoCreepのC2インフラストラクチャから400以上のDiscordメッセージを復号し、被害者のIPアドレスとホスト名に関連付けられた一意のDiscordチャネル名に基づいて、少なくとも4つの侵害された被害者を特定しました。
Discordメッセージは、調査官を偽のGitHubリポジトリ(正規のWordPressプロジェクトのフォーク)に導き、マルウェアとツールを被害者マシンへの直接ダウンロード用にステージングするために使用されました。
Webwormはまた、カスタムプロキシツールのスイートを展開しました:WormFrp(侵害されたAmazon S3バケットからAES暗号化構成を取得)、ChainWorm(内部および外部ホスト全体のマルチホッププロキシをチェーン)、SmuxProxy(オープンソースioxツールのカスタマイズ版)、およびWormSocket(socket.ioベースのスケーラブルプロキシネットワーク)。
すべてのプロキシおよびVPNインフラストラクチャはVultrおよびIT7 Networksでホストされているクラウドサーバ上で実行されており、welivesecurityによるとです。
翻訳元: https://cyberpress.org/graphworm-abuses-onedrive-c2/