C
月内に
中国に関連する攻撃グループWebwormが、新型マルウェア「GraphWorm」を用いて欧州の政府機関を攻撃しています
📌 一言でいうと
中国に関連する攻撃グループWebwormが、新型マルウェア「GraphWorm」を用いて欧州の政府機関を攻撃しています。このマルウェアはMicrosoft Graph APIを悪用し、OneDriveをC2(コマンド&コントロール)チャネルとして利用することで、正規のクラウドトラフィックに紛れて攻撃を隠蔽します。また、DiscordをC2として利用する「EchoCreep」という別のマルウェアも確認されており、信頼されたクラウドサービスの悪用傾向が強まっています。
🔍該当判定
- Microsoft 365 (OneDrive) を社内で利用している
- Microsoft Graph API を利用した自社アプリや外部連携ツールを導入している
- 社内でチャットツール Discord を業務利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. Microsoft Graph APIへの不審なアクセスや、OneDrive上の未知のフォルダ作成を監視する。 2. 信頼されたクラウドサービス経由であっても、異常なトラフィックパターンを検知できるEDR/NDRの導入・設定を検討する。 3. 不審な外部通信を行うプロセスの監視を強化する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Webwormによるクラウドサービス悪用マルウェア(GraphWorm/EchoCreep)について
お疲れさまです。Webwormによる新たな攻撃手法に関する情報共有です。
■ 概要
中国系APTグループWebwormが、Microsoft Graph APIを悪用してOneDriveをC2チャネルとするマルウェア「GraphWorm」および、DiscordをC2とする「EchoCreep」を運用していることが判明しました。正規のクラウドサービスを利用することで、従来の境界防御やトラフィック監視を回避する傾向があります。
■ 影響範囲
- Microsoft OneDrive および Discord を利用している環境
- 特に欧州政府機関が標的となっていますが、他組織への波及が懸念されます
■ 対応手順
1. OneDrive上の不審なディレクトリ作成およびGraph API経由の異常な通信ログを確認してください。
2. 通信内容はAES-256-CBCで暗号化されBase64エンコードされているため、ペイロード解析よりも通信先および頻度の分析を優先してください。
3. Discord等のチャットツールをC2として利用する挙動がないか、エンドポイントの監視を強化してください。
■ 参考情報
- ESET Security Report
対応優先度: 中
対応期限: 継続的な監視を推奨
お疲れさまです。Webwormによる新たな攻撃手法に関する情報共有です。
■ 概要
中国系APTグループWebwormが、Microsoft Graph APIを悪用してOneDriveをC2チャネルとするマルウェア「GraphWorm」および、DiscordをC2とする「EchoCreep」を運用していることが判明しました。正規のクラウドサービスを利用することで、従来の境界防御やトラフィック監視を回避する傾向があります。
■ 影響範囲
- Microsoft OneDrive および Discord を利用している環境
- 特に欧州政府機関が標的となっていますが、他組織への波及が懸念されます
■ 対応手順
1. OneDrive上の不審なディレクトリ作成およびGraph API経由の異常な通信ログを確認してください。
2. 通信内容はAES-256-CBCで暗号化されBase64エンコードされているため、ペイロード解析よりも通信先および頻度の分析を優先してください。
3. Discord等のチャットツールをC2として利用する挙動がないか、エンドポイントの監視を強化してください。
■ 参考情報
- ESET Security Report
対応優先度: 中
対応期限: 継続的な監視を推奨
Subject: [Intel] Abuse of Cloud Services by Webworm (GraphWorm/EchoCreep)
Dear Team,
We are sharing intelligence regarding new malware campaigns by the China-linked actor Webworm.
■ Overview
Webworm is deploying "GraphWorm," which abuses the Microsoft Graph API to use OneDrive as a C2 channel, and "EchoCreep," which utilizes Discord for C2 communications. By leveraging trusted cloud services, the attackers can effectively blend in with legitimate traffic and bypass traditional security controls.
■ Scope
- Environments utilizing Microsoft OneDrive and Discord.
- While European government agencies are primary targets, other sectors should remain vigilant.
■ Recommended Actions
1. Monitor for suspicious directory creation in OneDrive and anomalous API calls via Microsoft Graph API.
2. Since C2 traffic is AES-256-CBC encrypted and Base64 encoded, focus on traffic patterns and destination analysis rather than payload inspection.
3. Enhance endpoint monitoring for unauthorized processes communicating with Discord API endpoints.
■ Reference
- ESET Security Report
Priority: Medium
Deadline: Ongoing monitoring
Dear Team,
We are sharing intelligence regarding new malware campaigns by the China-linked actor Webworm.
■ Overview
Webworm is deploying "GraphWorm," which abuses the Microsoft Graph API to use OneDrive as a C2 channel, and "EchoCreep," which utilizes Discord for C2 communications. By leveraging trusted cloud services, the attackers can effectively blend in with legitimate traffic and bypass traditional security controls.
■ Scope
- Environments utilizing Microsoft OneDrive and Discord.
- While European government agencies are primary targets, other sectors should remain vigilant.
■ Recommended Actions
1. Monitor for suspicious directory creation in OneDrive and anomalous API calls via Microsoft Graph API.
2. Since C2 traffic is AES-256-CBC encrypted and Base64 encoded, focus on traffic patterns and destination analysis rather than payload inspection.
3. Enhance endpoint monitoring for unauthorized processes communicating with Discord API endpoints.
■ Reference
- ESET Security Report
Priority: Medium
Deadline: Ongoing monitoring