出典:True Images via Alamy Stock Photo
中国によって支援されている持続的な脅威アクターであるWebwormは、ヨーロッパ全域の政府機関を標的にしており、異常なコマンド・アンド・コントロール機構を使用してそうしています。
セキュリティベンダーESETは今週、Webwormを取り巻く最近の活動に関する詳細な調査結果を発表しました。Webwormは、中国と連携するAPTグループで、2022年に初めて報告されました。当初、このグループはアジアの組織を標的にしていましたが、ESETのEric Howardは、脅威アクターがヨーロッパへの焦点をシフトさせたと述べています。ベルギー、イタリア、セルビア、スペイン、ポーランドを含む政府機関が対象です。南アフリカでも追加活動が検出されています。
この調査は、主に2024年初期から2025年初期にかけてのWebwormの活動、および2022年以降にそのタクティクス・テクニック・プロシージャ(TTP)がどのように進化したかをカバーしています。脅威アクターは当初、McRatやTrochilusなどのよく知られたマルウェアファミリーに依存していましたが、最近になって既存およびカスタムプロキシツールへの転換を図っています。これらのケースは、主に2024年に観察され、Webwormは「SOCKS プロキシ(SoftEther VPN)およびその他のネットワーキングソリューションなどの正規または半正規ツール」に依存していました。
従来のよく知られたマルウェアの欠点は、一般的にシグネチャ、アーティファクト、トラフィックパターンがあり、防御側が検出しやすいことです。しかし、プロキシツールはネットワークトンネリングツールであり、被害者と攻撃者の間の仲介者として機能します。これらは多くの場合、より手動的であり、攻撃者が独自のツールを持ち込む必要があり、一般的には典型的なバックドアよりもはるかにステルス性が高いです。
しかし、2025年にはWebwormはそのレパートリーに2つの新しいバックドアを導入しました。1つはEchoCreepで、人気のあるチャットアプリケーションDiscordを使用してコマンド・アンド・コントロール(C2)を行います。もう1つはGraphWormで、Microsoft Graph APIをC2に依存しています。ESETはまた、WebwormがGitHubリポジトリでマルウェアとツールをステージングしているのを観察しており、攻撃者は被害者のマシンにマルウェアを簡単にダウンロードできます。
WebwormのDiscordおよびMicrosoft Graph C2
Webwormは、C2を促進するための革新的なアプローチを使用する脅威アクターのトレンドを継続しています。過去1年から2年間に見られた創造的なC2アプローチには、Google CalendarとSolana ブロックチェーンが含まれます。
ESETはその帰属判定を、C2に使用されたDiscordメッセージを復号化することによる作業に基づいており、最終的にGitHubリポジトリにつながり、「既知のWebworm IP」と一致するIPアドレスの発見につながったとHowardは述べました。
調査は主にWebwormの2025年の活動をカバーしており、その時点で同グループは明らかにTrochilusとMcRatを放棄して新しいバックドアを支持していました。中国のAPTは、通信の暗号化、およびホスト間のネットワーク内部および外部チェーニングのサポートのためにプロキシソリューションを継続して使用しています。これらのプロキシソリューションには、ポートフォワーディングおよびプロキシツール iox、ならびにカスタムツール ChainWorm、SmuxProxy、WormFrp、およびWormSocket が含まれます。
「演算子がこれらのツールをSoftEther VPNと併用して、彼らの足跡をより適切にカバーし、彼らの活動のステルス性を増すと考えています」とブログ投稿は述べています。「すべてのWebwormプロキシおよびVPNサービスは、VultrおよびIT7 Networks によって制御されているネットワークインフラストラクチャに属するクラウドサーバです。プロキシツールの数とその複雑さに基づくと、Webwormは被害者にそのプロキシを実行させることをだまして、はるかに大きな隠されたネットワークを作成しているかもしれません。」
新しいバックドアについては、ESETは400のDiscordメッセージを分析することに基づいて、EchoCreepがチャットサービスを使用してファイルをアップロード、ランタイムレポートを送信、およびコマンドを受信することを発見しました。Webwormはまた、ネットワーク通信をDiscordのAPIを通してパスするための作成されたHTTPリクエストを使用します。GraphWormについては、脅威アクターはOneDriveエンドポイントに依存して新しいジョブを取得し、被害者情報をアップロードしています。
異なるDiscordサーバーが各EchoCreep被害者に使用され、同様に各GraphWorm被害者に対して異なるOneDriveディレクトリが使用されます。
別途、ブログ投稿は脅威アクターが「カスタムプロキシソリューション WormFrp を使用して、危険にさらされたAmazon S3バケットから構成を取得するために使用を開始した」ことを述べており、Webwormの継続的な技術進化への継続的なコミットメントをさらに示しています。
組織がWebwormに対応する方法
初期アクセスベクトル(および攻撃チェーンの多く)は不明のままですが、Howardはホスト上の脅威アクターがオープンソース脆弱性スキャナーを使用してWebサーバーファイルと対象のネットワーク内のバグのディレクトリをスクレイプしていることに注目しました。これはWebwormが環境内の脆弱性を通じて被害者を標的にした可能性があり、侵害後にバックドアをデプロイしたことを意味します。
ESETのブログ投稿には、侵害の指標が含まれています。
メールでは、Howardは Dark Reading に対して、中国がヨーロッパまたはこれらの被害者環境から何を探しているのかについて彼は話すことができませんが、Webwormは「諜報活動を実行するためにできるだけ遠くまで」掘り進むためのピボットポイントまたは初期アクセスのポイントを探しているようであると述べています。
ヨーロッパの組織ができることについて、ESETの研究者は2つの提案を行っています。1つは、脆弱性発見がWebwormの主要な焦点であるように見えるため、組織はシステムにパッチを当て、アセットの露出を制限するべきです。2つ目は、Discord、Microsoft Graph、またはS3などのエンドポイントへの非標準プロセスおよびアプリケーションからの通信活動を確認する必要があります。
「組織はまた、同じエンドポイントへのデータ転送を認識する必要があります」と彼は述べています。「特に、標準ワークフローの一部ではない場合を考慮する場合。」
翻訳元: https://www.darkreading.com/endpoint-security/chinas-webworm-discord-microsoft-graphs
