サイバーセキュリティ研究者たちは、中国と関連があるとされる脅威アクター**Webworm**の最近の活動を明らかにしました。このグループは、コマンド・アンド・コントロール（C2）通信に**Discord**と**Microsoft Graph API**を利用するカスタムバックドアを展開しています。 ### Webwormの歴史と進化 2022年9月に**Symantec**によって初めて文書化された**Webworm**は、少なくとも2022年から活動しています。このグループは、ロシア、ジョージア、モンゴル、およびその他の様々なアジア諸国のITサービス、航空宇宙、電力セクターの政府機関や企業を標的としています。 歴史的に、**Webworm**の攻撃には、Trochilus RAT、Gh0st RAT、9002 RAT（別名HydraqおよびMcRat）などのリモートアクセス型トロイの木馬（RAT）が含まれていました。この脅威アクターは、FishMonger（別名Aquatic Panda）、SixLittleMonkeys、Space Piratesなどの他の中国関連クラスターと重複しています。SixLittleMonkeysは、中央アジア、ロシア、ベラルーシ、モンゴルなどの組織を標的として、Gh0st RATとMikroceenを展開することで知られています。 「近年、より隠密性の高いフル機能のバックドアよりも、既存のプロキシツールやカスタムプロキシツールへと移行し始めています」と**ESET**の研究者であるEric Howard氏は述べています。「2025年には、Webwormはツールキットに2つの新しいバックドアを追加しました。EchoCreepは**Discord**をC&C通信に使用し、GraphWormは**Microsoft Graph API**を同じ目的で使用します。」 ### 新しいバックドア：EchoCreepとGraphWorm **Webworm**は、マルウェアやSoftEther VPNのようなツールのステージンググラウンドとして、**WordPress**のフォークを装った**GitHub**リポジトリ（"github[.]com/anjsdgasdf/WordPress"）を使用しています。この戦術は、検出を回避し、紛れ込むことを目的としています。SoftEther VPNの使用は、複数の中国のハッキンググループの間で一般的なアプローチです。  過去2年間で、この攻撃者は従来のバックドアからSOCKSプロキシのような半合法的なユーティリティへと移行し、特にヨーロッパ諸国（ベルギー、イタリア、セルビア、ポーランド、スペインの政府機関、南アフリカの地方大学など）に焦点を移しています。 EchoCreepとGraphWormの発見は、**Webworm**のツールキットの進化を浮き彫りにしています。Trochilusと9002 RATは放棄されたようですが、その他の注目すべきツールには、ioxやWormFrp、ChainWorm、SmuxProxy、WormSocketなどのカスタムプロキシソリューションが含まれます。WormFrpは、侵害された**Amazon S3**バケットから設定を取得します。 **ESET**は、これらのカスタムプロキシツールが通信を暗号化し、内部および外部の複数のホストにわたるチェーンをサポートしていると指摘しています。オペレーターは、これらのツールをSoftEther VPNと組み合わせて、その活動を隠蔽している可能性が高いです。 EchoCreepはファイルアップロード/ダウンロードと"cmd.exe"を介したコマンド実行をサポートしていますが、GraphWormは新しい"cmd.exe"セッションの起動、新しいプロセスの実行、**Microsoft OneDrive**への/からのファイルアップロード/ダウンロード、およびシグナル受信時の自己終了が可能な、より高度なバックドアです。  EchoCreepがC2に使用する**Discord**チャンネルの分析によると、2024年3月21日までのコマンドが確認されており、C2サーバー経由で合計433件の**Discord**メッセージが送信されています。 ### 初期アクセスと脆弱性スキャン **Webworm**が使用する初期アクセス経路は不明のままです。しかし、攻撃者はdirsearchやnucleiなどのオープンソースユーティリティを使用して、被害者のWebサーバーのファイルやディレクトリをブルートフォースし、脆弱性を検索します。 ### BadIISマルウェア・アズ・ア・サービス この開示は、**Cisco Talos**が報告したBadIISのバリアントと一致しており、これは中国語圏のサイバー犯罪グループ間でマルウェア・アズ・ア・サービス（MaaS）モデルの下で共有または販売されている可能性が高いです。このサービスは、少なくとも2021年9月30日から開発されており、継続的な収益化を可能にします。 「lwxat」として知られるマルウェアの作者は、展開の自動化、IISサーバーの再起動後も生存性を確保し、検出を回避するための、サービスベースのインストーラー、ドロッパー、永続化メカニズムなどの補助ツールを提供しています。 **Talos**の研究者であるJoey Chen氏によると、このサービスには、脅威アクターが設定ファイルを生成し、ペイロードをカスタマイズし、BadIISバイナリにパラメータを注入することを可能にするビルダーツールが含まれており、トラフィックのリダイレクト、リバースプロキシ、コンテンツハイジャック、悪意のあるSEO詐欺のためのバックリンク注入を可能にします。