ESET研究者は、2025年のWebwormの活動を分析しました。Webwormは中国系の配下にあるAPTグループであり、当初はアジアの組織をターゲットとしていましたが、最近ではヨーロッパへの焦点をシフトしています。このグループに関する最初の公開ブログポストですが、当社はSymantecが2022年にこの脅威アクターについて最初に報告して以来、Webwormの活動を監視し続けています。長年にわたり、このアクターが戦術、技法、手順(TTP)を継続的に変更していることを確認しています。
Webwormは、SixLittleMonkeysおよびFishMongerなどの他の中国系APTグループと関連しています。過去には、McRat(別名9002 RAT)やTrochilusなどの既知のマルウェアファミリーを使用していましたが、近年ではフル機能のバックドアより隠蔽性が高い既存のカスタムプロキシツールへの移行を開始しています。2025年には、Webwormはツールセットに2つの新しいバックドアを追加しました。Discordを使用してC&Cアクティビティ行う「EchoCreep」とMicrosoft Graph APIを使用する「GraphWorm」です。このグループはGitHubリポジトリでマルウェアとツールをステージングすることで知られており、マルウェアを被害者のマシンに直接ダウンロードできるようにしています。
ブログポストの主要ポイント:
- 2022年の発見以来、Webworm APTグループはツールセットとターゲット設定を積極的に更新しています。
- 2025年、このグループはDiscordおよびMicrosoft Graph APIを使用してC&C通信を行うバックドアの利用を開始しました。
- ESET研究者は、400以上のDiscordメッセージとオペレータサーバーで発見されたbashヒストリーファイルを解読し、50以上のユニークなターゲットに対して使用された偵察コマンドを確認しました。
- バックドアに加えて、Webwormは複数の既存およびカスタムプロキシツールを活用しています。
- このグループはマルウェアをステージングするためにGitHubを使用しています。
EchoCreepバックドアのC&C通信に使用されるDiscordメッセージを解読した後に発見した情報に基づいて、2025年のキャンペーンをWebwormに起因させています。その情報により攻撃者のGitHubリポジトリにたどり着き、SoftEther VPNアプリケーションなどのステージングされたアーティファクトが含まれていました。SoftEther設定ファイル内で、既知のWebworm IPと一致するIPアドレスを発見しました。
このブログポストで後述する国から被害を受けたVictimに対しては、適切な通知が行われています。また、GitHubリポジトリやS3バケットなど、当社が特定したサービスは削除されています。
進化するアプローチ
2022年、Webwormの主な特徴の1つは、McRatやTrochilusなどの確立されたバックドアおよびリモートアクセストロージャン(RAT)の使用でした。Symantecのブログポストで説明されているように、このグループは当初、主にアジアの国々をターゲットとしていました。
2024年、このグループが従来のバックドアから、SoftEther VPNなどの正当な、または準正当なツール、およびその他のネットワークソリューションなどのツールへの移行を開始したことが観察されました。これらはWebwormの検出回避に役立ちますが、バックドアで通常利用可能なコマンドの完全なセットを欠いているため、オペレータはcmd.exeまたはpowershell.exeなどのコマンドインタプリタに依存する必要があります。
その当時、このグループはアジアでの活動を遅刻し始め、ヨーロッパの国々への焦点をシフトしていることが観察されました。このトレンドは2025年も続き、ベルギー、イタリア、セルビア、ポーランドの政府機関をターゲットとした攻撃が観察されました。同時に、Webwormは南アフリカにも進出し、現地の大学を侵害しました。
これらの最新キャンペーンでは、WebwormはTrochilusとMcRatを完全に放棄したようですが、ツールセットの拡張を続けています。新しいツールの中でも最も重要なのは、2つの新しいバックドアです。Discordベースの「EchoCreep」とMicrosoft Graphベースの「GraphWorm」です。このグループはGo言語で作成された既存のプロキシソリューション、特にiox(ポートフォワーディングおよびイントラネットプロキシツール)およびfrp(高速リバースプロキシ)の使用を継続しながら、カスタムプロキシソリューション「WormFrp」、「ChainWorm」、「SmuxProxy」、「WormSocket」も追加しました。
これらのカスタムプロキシツールは通信を暗号化することができるだけでなく、ネットワーク内外を問わず複数のホスト間でチェーン化をサポートしています。オペレータがこれらのツールをSoftEther VPNと組み合わせて使用して、より踏み込んだ追跡をカバーし、活動の隠蔽性を高めていると考えられます。すべてのWebwormプロキシおよびVPNサービスは、VultrおよびIT7 Networksにより制御されるネットワークインフラストラクチャに属するクラウドサーバーです。プロキシツールの数と複雑さに基づいて、Webwormはそのプロキシを実行させることで被害者をだまし、より大規模な隠されたネットワークを作成している可能性があります。
DiscordおよびMicrosoft Graph API C&C通信
2025年、WebwormはC&C通信のためにDiscordおよびMicrosoft Graph APIの悪用を開始しました。EchoCreepバックドアを分析する際、400以上のDiscordメッセージを発見することができました。また、それぞれ異なるVictimに対応する4つのユニークなチャネルを発見しました。EchoCreepはDiscordを使用してファイルをアップロードし、ランタイムレポートを送信し、コマンドを受け取ります。バックドアのネットワーク通信はクラフトされたHTTPリクエストを使用してDiscord APIを通じて渡されます。
Microsoft Graph APIをC&C通信に使用するGraphWormの場合、OneDriveエンドポイントのみを使用していることが判明しました。具体的には、新しいジョブを取得し、被害者情報をアップロードするためです。Victimごとに個別のOneDriveディレクトリが作成されます。GraphWormが使用しているOneDriveのインスタンスはクラウドで動作しているため、バックドアはMicrosoft Graph APIエンドポイント/createUploadSessionを活用して、大規模なステージングされたファイルをアップロードできます。
Amazon S3バケット
2025年キャンペーンの調査中に、Webwormがwamanharipethe.s3.ap-south-1.amazonaws[.]comにあるカスタムプロキシソリューション「WormFrp」を使用してカスタムプロキシソリューションから設定を取得し始めたことを発見しました。Amazon S3バケットはAmazon Web Servicesで利用可能なパブリッククラウドストレージソリューションであり、S3は「Simple Storage Service」の略です。侵害されたバケットはwhpjewellers.s3.amazonaws[.]comのパブリックアクセス可能、またはポリシー設定ミスのバージョンである可能性があると考えられます。
バケットに保存されているファイルの初期レビューでは、仮想マシンホストから複数のスナップショットが明らかになり、その1つはイタリアの政府エンティティに属するマシンの現在の設定とアクティブな状態を含んでいました。これはオペレータが被害者の仮想マシンを管理する環境への侵入に成功したことを意味する可能性があります。ただし、スナップショットが保存されている単一のホストへのアクセスだけを取得した可能性もあります。いずれにせよ、このS3バケットを通じて、Webwormはデータを流出させることができる一方で、疑わない被害者がサービスの料金を支払うことになります。
2025年10月下旬、脅威アクターはS3バケットにSharpSecretsdumpという名前の実行ファイルをアップロードしました。ドキュメントで述べられているように、このツールは悪名高いImpacketのsecretsdump.pyのアクティビティを模倣して、展開されたWindowsホストから認証情報をダンプします。Webwormオペレータがこのツールを被害者に対して使用するためにS3バケットにアップロードしたと想定しています。
2025年12月から2026年1月にかけて、オペレータはサービスに20の新しいファイルをアップロードし、そのうち2つはスペインの政府エンティティから流出していました。これら2つのファイルの最初のファイルはXMLファイルで、mRemoteNGで使用される仮想ホストの保存された設定が含まれています。mRemoteNGはオープンソースのリモート接続マネージャーです。2番目のファイルは、この政府エンティティが使用するドメインの背後にあるインフラストラクチャを詳述しているMicrosoft Visioダイアグラムです。
GitHubリポジトリ
EchoCreepのDiscord C&Cインフラストラクチャを確認している際に、ユーザー、チャネル、ギルドに関連するDiscordの一意の識別子を取得することができました。残念ながら、ボットのトークンのアクセスが限定的であったため、サーバーまたはボット自体の所有者を囲む情報を列挙するために使用できるAPI呼び出しはありませんでした。
ただし、Discordメッセージは、Webwormが使用する他のツールおよびマルウェアのファイルステージャーとして機能するGitHubリポジトリhttps://github[.]com/anjsdgasdf/WordPressを明かしました。正当なWordPressリポジトリの直接フォークであるため、平然と隠すことができます。図1は、wp-adminディレクトリにステージングされたファイルを配置したこのリポジトリの概要を示しています。
掘り進む
Webwormが被害者を侵害するために使用する入口を見つけることはできませんでしたが、このグループは被害者のWebサーバーファイルとディレクトリをスクレイプするためにオープンソースユーティリティを採用し、その中の脆弱性を検索しています。
被害者マシンが64.176.85[.]158でホストされているプロキシサーバーと通信していることに気づいた後、これを発見しました。IPアドレスのレビューにより、上記のオープンソースユーティリティが含まれていたオープンディレクトリが以前ポート80でホストされていたことが示されました。図2は、このオープンディレクトリリスティングのトップレベルビューを提供します。
ブログポストに関連する主要なディレクトリはnuclei/、.dirsearch/、および.bash historyファイルです。図3で見られるように、Webwormオペレータは、特定のステータスコードをフィルタリングできる機能を持つWebパススキャナーユーティリティであるdirsearchを使用し、特定のターゲットに対して可能な脆弱性を特定するためのオープンソース脆弱性スキャナーであるnucleiを使用して、Webサーバー内のディレクトリとファイルをブルートフォースすることができました。
dirsearchの実行結果は.dirsearchディレクトリに保存され、ツールがスペイン、ハンガリー、ベルギー、ナイジェリア、チェコ、セルビアなどのさまざまな国から56のターゲットに対して実行されていたことが明かされました。
nucleiディレクトリでは、LegalHackersスクリプト(_1.shという名前)を発見しました。これは、WebメールクライアントSquirrelMail内で認証後のリモートコード実行を可能にする脆弱性であるCVE-2017-7692の概念実証エクスプロイトです。.bash_historyディレクトリを見ると、セルビアのWebメールターゲットに対して同様の名前のスクリプトが実行されていることが発見されました。これは、このグループがセルビアの被害者の認証情報を取得し、この脆弱性を初期アクセスの一部として使用していた可能性があるという仮定につながります。
このブログポストでは、Webwormのツール化の新しい追加を詳しく見ています。まず、2つのカスタムバックドア「EchoCreep」と「GraphWorm」を見ます。次に、このグループが2025年のキャンペーンで展開したカスタムプロキシソリューション「WormFrp」、「ChainWorm」、「SmuxProxy」、「WormSocket」を見ます。
EchoCreep
EchoCreepは、Goで作成された新しいバックドアで、Discordを使用してC&Cサーバーとして機能し、メッセージは2024年3月21日で開始されています。これは表1に示されたコマンドを実行することができます。
表1. EchoCreepコマンド
| コマンド | 引数 | 説明 |
| upload | ファイルパス | 指定されたファイルシステムパスからDiscordにファイルをアタッチメントとしてアップロードします。 |
| download | ソース(URL)および宛先(パス) | 提供されたソースURLからファイルシステムパスの宛先にファイルをダウンロードします。 |
| shell | 文字列 | cmd.exeシェル内で文字列を実行します。 |
| sleep | 整数(秒) | 指定された秒数のための睡眠状態。Discordサーバーに成功レポートを返す前。 |
バックドアが被害者マシンにどのようにして到達したかを確認することはできませんでしたが、永続性はC&Cコマンドを介した侵害後にのみ取得されたようです。
EchoCreepのすべてのネットワーク通信は、クラフトされたHTTPリクエストを使用してDiscord APIエンドポイントを通じて渡されます。コマンドを解析するために、バックドアは最初にBase64を使用してそれらをデコードし、その後AES-CBC-128を使用して復号化する必要があります。図4は、両方が復号化された後のコマンドと返信の例を示しています。
{"guild": "lol", "channel_id": 1220298277849796651, "channel": "fire", "content": "shell whoami", "time": "2025-04-14T08:35:41.751000+00:00", "author_id": 1219910976007045171, "author": "jonson889912"}図4. EchoCreepコマンドと返信
復号化した433のDiscordメッセージすべてから、ESET顧客ではないため、正確に誰が影響を受けたかは不明でした。ただし、チャネル名に基づいてEchoCreepで侵害された被害者の数を少なくとも決定することができました。これらの名前は被害者のIPアドレス、またはIPアドレスと被害者マシンのホスト名の組み合わせのいずれかであることが発見されました。この命名規則を使用して4つのユニークなチャネルを発見したので、4つの被害者がいると考えられています。
EchoCreepの最初の実行時には、新しいチャネルを作成しようとはせず、すでに存在するチャネルに「Up Success」というメッセージを送信します(図5および図6を参照)。これはチャネルがバックドアの実行前に作成されたことを示しており、オペレータが目標を知っていたか、初期アクセス後の必要な情報を流出させたかのいずれかであることを示唆しています。
2024年3月21日から2025年3月31日に送信された最も初期のメッセージは、オペレータテストコマンドのようです。図7は、脅威アクターがそこにローカルIP設定に関する情報を残したことを示しています。
Ethernet adapter Ethernet0:
Connection-specific DNS Suffix . : lan
Link-local IPv6 Address . . . . . : fe80::2111:d79b:b1ba:1f4a%10
IPv4 Address. . . . . . . . . . . : 192.168.8.174
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.8.1図7. Windowsipconfig出力
他の多くの初期メッセージには、図8に見られるように、適切な通信を特定するためのテストとして使用された可能性があるガベージ値が含まれていました。
その後、図9に示されているようにダウンロード操作が開始されるのを見始めました。これは高度なコマンドの開発を示しています。
さらに、図10では、Webwormが後で被害者に対して使用する永続性メカニズムの初期適応である可能性のあるテスト活動が見られます。興味深いことに、最終的に使用されたshellコマンドではなくrunコマンドを実行していることが、これらが初期テストであったという当社の決定をサポートしています。
最初の実際の侵害は2025年4月9日に発生し、新しい「Up Success」メッセージがログに表示されて、新しいチャネル名に関連付けられました。初期侵害の直後に、脅威アクターはシェルコマンドを使用してcurlを実行ファイルをダウンロードしました。
GraphWorm
GraphWormはWebwormが扱う別の新しいバックドアです。被害者がマシンにログインするたびに実行されます。GraphWormはMicrosoft Graph APIをC&C通信に使用し、Webwormがvictimを侵害するための新しいインフラストラクチャを備えており、Microsoft Graphテナント内に情報を保存しています。当社が見たことに基づいて、バックドアはコマンドを受け取るために専門的にOneDriveを使用し、被害者データを送信します。これらの通信に関係するデータは、最初にOpenSSL EVPライブラリコール、その後Base64エンコードを使用してAES-256-CBC暗号化されます。GraphWormはプロキシ設定も設定できるため、指定されたプロキシを通じてトラフィックをトンネリングできます。
最初の実行時に、バックドアはネットワークアダプタIP、プロセッサID、およびWMIフレームワークを使用して物理デバイスのシリアル番号を連結することにより、一意の被害者IDを作成します。
一意のIDは、テナント内のOneDriveフォルダの名前を変更または作成するプロセスで使用されます。各フォルダーは侵害の一部として一意であり、各被害者の特定のサブフォルダーを含みます。3つのサブフォルダー/files、/result、および/jobは、ファイルを保存し、被害者マシンで実行されたコマンドの結果、およびオペレータが実行キューに登録したジョブをそれぞれ保存するために使用されます。
フォルダーが正常に作成された後、バックドアは被害者マシンに関する情報を収集し、図11に示されたJSONオブジェクトになります。
{
"Host Name": "<computer_name>",
"IP Address": "<ip>",
"MAC Address": "<mac>",
"Operating System": "<os>",
"Privilege": "<Admin|Regular User>",
"Time Zone": "<UTC-XXXX>",
"User Name": "<username>",
"Workgroup": "<workgroup",
"publicKey": "<key>"
}図11. 構成構造
GraphWormがOneDriveを通じて受信するコマンドは、発見の順序で表2に説明されています。
表2. GraphWormコマンド
| コマンド | 引数 | 説明 |
| keyExchange | 文字列<adminPublicKey> | この値はメモリに設定され、残念ながらその目的は容易に識別できません。リバースシェルアクセスを得るために公開鍵を設定するために使用される可能性があります。 |
| sessionKey | 文字列<sessionKey>文字列<keyId> | メモリ内に設定されたもう1つの値セット。使用方法は不明です。RSA秘密鍵およびAES鍵がメモリ内で更新され、暗号化関数に使用されると考えられます。 |
| kill | 該当なし | バックドアの実行を停止します。 |
| shell | 該当なし | cmd.exeの新しいインスタンスをスポーンします。 |
| exec | ファイルパス | CreateProcessWを使用して新しいプロセスを実行します。 |
| upload | 文字列<onedrive_path>文字列<agent_path> | OneDriveおよびエージェントパスに基づいてファイルをダウンロードします。<onedrive_path>はOneDrive内に表示されたフルパスであると考えられ、/me/drive/root:/<onedrive_path>の形式になります。<agent_path>はディスク上に表示されたフルファイルパスです。 |
| sleep | 整数 | 睡眠期間を更新します。 |
| poll | 整数 | 不明な理由のための睡眠期間を更新します。コマンドの開発がまだ進行中の可能性があります。 |
| rest | 整数 | 期間の睡眠。 |
| upgrade | JSONテキスト | JSONテキストには、メモリ内のフィールドを更新するための設定を含んでおり、その後、これらの変更をディスク上のconfig.datファイルに書き込みます。 |
| download | 文字列<onedrive_path>文字列<file_path> | 提供された<file_path>からファイルをOneDriveで望ましいパスにアップロードします。<onedrive_path>は/me/drive/root:/<uniqueid>/<filename>/:contentの形式であると考えられます。 |
| heartbeat | 整数<min>整数<max> | minとmaxの間にランダム遅延期間を作成するために使用され、alive.txtを更新する前に待機する時間を長くします。 |
調査中に、シェルコマンドが完了すると、結果はbeacon_shell_output.txtという名前のファイルに書き込まれて一時的なディレクトリに保存されていることに気付きました。これらの大規模なシェルコマンド出力をアップロードするために、オペレータはバックドアがOneDriveのクラウドインスタンスを扱っているため、Microsoft Graph APIエンドポイント/createUploadSessionを活用した可能性があります。
WormFrp
WormFrpは、Webwormも使用する既存の高速リバースプロキシ(frp)ユーティリティからインスピレーションを得たプロキシトンネリングツールです。脅威アクターはfrpを拡張してカスタム機能を備えています。このツールはカスタマイズされた、カスタムプロキシソリューションwamanharipethe.s3.ap-south-1.amazonaws[.]comから設定値を取得できます。
侵害されたS3バケットには、.txt拡張子を持つ複数のファイルが含まれており、ECBモードを使用してAES暗号化されています。各WormFrpインスタンスは一意のAES鍵でハードコードされており、S3バケットから一意のファイルを取得します。設定ファイルは、WormFrp実行中にトンネルが接続元を識別するための情報を送信するために更新されます。
WormFrpを実行するには、コマンドライン引数が必要です。S3バケットから構成を取得した後、WormFrpはfrpサーバーにログインしようと試みて、リバースプロキシとTCP SOCKS5プロキシを開きます。観察されたサンプルに基づいて、ユーザー名とパスワードは常にランダムに生成されます。
WormFrpの各インスタンスはパブリックIPアドレスを通じてfrpサーバーに接続します。リバースプロキシが構成されると、被害者のマシンから追加のネットワークアクティビティが表示される可能性があります。
ChainWorm
ChainWormはWebwormオペレータが使用するもう1つのカスタムプロキシツールです。ChainWormの主な機能は、展開されたマシンのポートを開くことにより、Webwormのプロキシネットワークインフラストラクチャの拡張を支援することと思われます。Webwormはこのツールを使用して、特に細工されたデータが別のリモートシステムに接続しているポートを通じて送信され、トラフィックを不確定な数のホップの次の宛先に転送するプロキシをチェーンすることができます。
通常、影響を受けたホストで開かれるポートはツールにハードコードされています。その後、TCPコネクションが、ハードコードされたポート上で開かれて、直接IPアドレスまたはホスト名とそのポートの追加の送信接続につながるトランスミッションを受け取ります。
ホスト名とポートの組み合わせを使用して、チェーン内の次のホップへの接続が確立されます。ソースと宛先の間に接続が確立されると、通過するデータはチェーン内の次の上流ホップに転送されます。ある時点で例外がある場合、ソースは再接続を試みる前に0x05 01 00 01 00 00 00 00 00 00バイトシーケンスで通知されます。
SmuxProxy
SmuxProxyは、ポートフォワーディングおよびイントラネットプロキシツールであるioxに基づくユーティリティです。既存のiox機能の上に、SmuxProxyはハードコードされたサーバーIPアドレスとポートを許可するための小さなカスタマイズを含んでおり、オペレータがドロップして実行しやすくなります。また、暗号化された通信用のランダムキーと初期化ベクターを生成することもできます。
WormSocket
Webwormの最後の新しいカスタムプロキシは、WormSocketです。このツールはsocket.ioを実行している設定されたサーバーを使用してWebリクエストのプロキシを確立するものです。WormSocketは高度にカスタマイズ可能で拡張可能なプロキシネットワークを可能にし、任意の時点で特定のノードを対話できます。
その構成は、ハードコードされた値とコマンドライン引数に基づいています。WormSocketはオプションのコマンドライン引数–proxyを受け入れ、その後に基本認証を含むURIが続き、設定として使用されてWebProxyオブジェクトを作成します。プロキシはWebソケットへの接続の上で使用されます。このWebソケットの設定はWormSocketでハードコードされています。
WormSocketが開始すると、まずws、wss、http、およびhttpsスキームを使用して接続を試みることにより、構成されたIPアドレスとポートへの接続を試みます。接続が成功すると、新しいメッセージを受信して送信するための非同期タスクが生成されます。表3で詳しく説明されている4つの可能なメッセージタイプがあります。
| タイプ | メッセージクラス | 値 | 説明 |
| 1 | InitiateForwarderClientReq | 文字列<ForwardedClientId> | IpAddressフィールドを使用してDNSルックアップを実行して、渡される可能なドメインのホストアドレスを取得します。その結果は、Portを使用して新しいTCPクライアントを作成するために使用されます。クライアントが接続を確立すると、ForwardedClientIdおよびTcpClientのペアのディクショナリ内に保存されます。 さらに、新しいInitiateForwarderClientRepメッセージオブジェクトが、TCPクライアントを構築するために使用された同じ情報で作成され、クライアントを通じて読み取られたメッセージで送信され、ConcurrentQueueに保存されます。 |
| 文字列<IpAddress> | |||
| 整数<Port> | |||
| 2 | InitiateForwarderClientRep | 文字列<ForwarderClientId> | ForwarderClientIdは、InitiateForwarderClientReqによって作成されたすでに構成されたTCPクライアントをクライアントディクショナリで検索するために使用されます。他の値は使用されていないようです。TCPクライアントが取得されると、新しいメッセージが読み取られてConcurrentQueueに保存されます。 |
| 文字列<BindAddress> | |||
| 整数<BindPort> | |||
| 整数<AddressType> | |||
| 整数<Reason> | |||
| 3 | SendDataMessage | 文字列<ForwarderClientId> | DataをBase64エンコードを通じて送信し、ForwarderClientIdに関連付けられたTCPクライアント。 |
| バイト[]<Data> | |||
| 4 | CheckInMessage | 文字列<MessengerId> | MessengerIdを内部MessengerIdに割り当てます。これはそれ以上使用されていないようです。 |
結論
Webwormは少なくとも2022年からアクティブな中国系APTグループです。主にバックドアと、オープンソースとカスタムプロキシユーティリティの組み合わせで構成される継続的に進化するツールキットを採用しています。2025年のキャンペーンでは、WebwormはDiscordベース(EchoCreep)およびMicrosoft Graph APIベース(GraphWorm)のバックドアを使用し始めました。このグループは引き続きGitHubリポジトリにファイルをステージングしており、今後もそうし続けると想定できます。
当社の分析を通じて、グループの潜在的な初期アクセス手法を垣間見ることができるサーバーから実行されたコマンドを回復することができました。オープンソースの脆弱性スキャナーを使用して、いくつかのターゲットを特定しました。
Webwormは初期アクセスポイントからか侵害後かを問わず、新しいツールを使用して被害者を侵害し続けるために探し続ける非常にアクティブなAPTグループであることは明らかです。
WeLiveSecurityで公開した当社の調査に関するご質問については、[email protected]にお問い合わせください。
ESET Researchはプライベートなアクティブティ脅威インテリジェンスレポートおよびデータフィード を提供しています。このサービスに関するご質問については、ESET Threat Intelligenceページにアクセスしてください。
IoCs
包括的な侵害指標(IoC)とサンプルのリストは、当社のGitHubリポジトリにあります。
ファイル
| SHA-1 | ファイル名 | 検出 | 説明 |
| CB4E5043333670738142 |
SearchApp.exe | WinGo/Agent.ZK | C&Cの場合DiscordEchoCreepバックドアを使用します。 |
| 1DF40A4A31B30B62EC33 |
ssh.exe | WinGo/HackTool. |
WormFrpプロキシツール。 |
| 7DCFE9EE25841DFD58D3 |
svc.exe | MSIL/HackTool. |
WormHoleプロキシツール。 |
| 77F1970D620216C5FFF4 |
C2OverOneDrive_v |
Win32/Agent.VWD | C&C用のMicrosoft Graph APIを使用するGraphWormバックドア。 |
| 948159A7FC2E68838686 |
MessengerClient. |
MSIL/HackTool.P |
WormSocketプロキシツール。 |
| A3C077BDF8898E612CCD |
dsocks.exe | WinGo/Riskware. |
ハードコードされたIPを使用したSmuxProxy(カスタムiox)。 |
ネットワーク
| IP | ドメイン | ホスティングプロバイダー | 最初に見た | 詳細 |
| 該当なし | wamanharipethe. |
該当なし | 2025-04-14 | frp設定とデータ流出のための侵害されたS3。 |
| 45.77.13[.]67 | 該当なし | Vultr Holdings, LLC | 2025-04-07 | WormSocketウェブソケットサーバー。 |
| 64.176.85[.]158 | 該当なし | The Constant Company, LLC | 2025-06-28 | SmuxProxyサーバー。 |
| 104.243.23[.]43 | 該当なし | IT7 Networks Inc | 2025-04-09 | SmuxProxyサーバー。 |
| 108.61.200[.]151 | 該当なし | Vultr Holdings, LLC | 2025-04-10 | WormFrpプロキシサーバー。 |
| 144.168.60[.]233 | 該当なし | IT7 Networks Inc | 2025-06-30 | SmuxProxyサーバーで検出されたリバースシェルIP。 |
MITRE ATT&CK技法
このテーブルはMITRE ATT&CKフレームワークのバージョン19を使用して構築されました。
| 戦術 | ID | 名前 | 説明 |
| 偵察 | T1595.002 | 能動的スキャン:脆弱性スキャン | Webwormはターゲットについてオープンソースの脆弱性スキャナーnucleiを利用しました。 |
| T1595.003 | 能動的スキャン:ワードリストスキャン | WebwormはターゲットでWebディレクトリスキャンを実行するためにワードリストを活用するdirsearchを使用しました。 | |
| リソース開発 | T1588.006 | 機能を取得:脆弱性 | Webwormは認証後のリモートコード実行のための公開利用可能なエクスプロイトコードを使用しました。 |
| T1583.004 | インフラストラクチャを取得:サーバー | WormFrp、SmuxProxy、WormSocketのサーバーはVultrおよびIT7 Network ASNで操作されるクラウドサービスでホストされています。 | |
| T1583.003 | インフラストラクチャを取得:仮想プライベートサーバー | WebwormはVultrクラウドサービスでホストされているSoftEther VPNサーバーを利用します。 | |
| T1584.006 | インフラストラクチャを危険にさらす:Webサービス | WebwormはS3バケットを侵害し、nucleiなどのツールを使用して足がかりを見つけるために観察されています。 | |
| T1608.002 | 機能をステージング:ツールをアップロード | Webwormは侵害されたシステムへの直接ダウンロードのためにそのGitHubリポジトリのツールをステージングしました。 | |
| 実行 | T1059.003 | コマンドおよびスクリプティングインタプリタ:Windowsコマンドシェル | EchoCreepとGraphWormの両方がWindowsコマンドラインを使用してオペレータコマンドを実行します。 |
| T1053.005 | スケジュール済みタスク/ジョブ:スケジュール済みタスク | EchoCreepはカスタム作成MicrosoftSSHUpdateスケジュール済みタスクの下で実行されます。 | |
| 永続性 | T1547.001 | ブートまたはログオン自動起動実行:レジストリ実行キー/スタートアップフォルダー | GraphWormはレジストリ実行キーに更新を行うことで永続化します。 |
| 防御の損傷 | T1070.004 | インジケータ削除:ファイル削除 | GraphWormは成功したアップロード後に作成されたビーコンファイルをクリーンアップします。 |
| T1112 | レジストリを変更 | GraphWormはレジストリ実行キーに変更を加えます。 | |
| T1027.013 | 難読化されたファイルまたは情報:暗号化/エンコードされたファイル | GraphWormとEchoCreepはデータを難読化するための暗号化およびエンコード技術を使用します。 | |
| T1550.001 | 代替認証資料を使用:アプリケーションアクセストークン | GraphWormとEchoCreepはAPI鍵を使用してC&Cインフラストラクチャと通信します。 | |
| T1078.004 | 有効なアカウント:クラウドアカウント | GraphWormは有効なクラウドアカウントを使用してMicrosoft Graph APIにアクセスします。 | |
| T1070.006 | インジケータ削除:タイムスタンプ | EchoCreepは変更されたタイムスタンプ属性を含みます。 | |
| 側方移動 | T1021.007 | リモートサービス:クラウドサービス | Webwormはファイルステージングゾーンとして使用するために侵害されたS3バケットを利用します。 |
| 収集 | T1005 | ローカルシステムからのデータ | EchoCreepとGraphWormの両方はローカルシステムからデータを収集できます。 |
| T1074.001 | ステージングされたデータ:ローカルデータステージング | GraphWormはC&Cにアップロードする前にローカルでビーコンファイルをステージングします。 | |
| T1074.002 | ステージングされたデータ:リモートデータステージング | GraphWormはMicrosoft Graph APIを使用してOneDrive内のファイルとタスクをステージングします。 | |
| コマンドおよび制御 | T1071.001 | アプリケーション層プロトコル:Webプロトコル | EchoCreep、GraphWorm、WormSocketはHTTPおよびWebSocketプロトコルを利用します。 |
| T1132.001 | データエンコーディング:標準エンコーディング | EchoCreep、GraphWorm、WormSocketはBase64エンコーディングを利用します。 | |
| T1573.002 | 暗号化されたチャネル:非対称暗号化 | EchoCreep、GraphWorm、WormSocket、WormFrpは、ある程度AESを使用します。 | |
| T1090.003 | プロキシ:マルチホッププロキシ | WormSocketとChainWormは複数のプロキシホップを作成します。 | |
| T1090.002 | プロキシ:外部プロキシ | WormFrp、ChainWorm、WormSocket、SmuxProxy、GraphWormは外部プロキシに接続する機能を有しています。 | |
| T1090.001 | プロキシ:内部プロキシ | ChainWormとWormSocketは内部プロキシを作成できます。 | |
| T1102.002 | Webサービス:双方向通信 | EchoCreepとGraphWormはC&Cインフラストラクチャ用のDiscordおよびMicrosoft Graph APIを使用します。 | |
| 流出 | T1041 | C2チャネルの流出 | EchoCreepとGraphWormはそれぞれのC&Cインフラストラクチャにデータを流出させます。 |
| T1567.002 | Webサービスの流出:クラウドストレージへの流出 | GraphWormはMicrosoft Graph APIを使用してOneDriveにデータを流出させます。 |
翻訳元: https://www.welivesecurity.com/en/eset-research/webworm-new-burrowing-techniques/
