複数ライセンス割引見積
脅威データベース 高度な持続的脅威 (APT) Webworm APT

Webworm APT

高度な持続的脅威 (APT), バックドア, リモート管理ツールMezoまで
翻訳内容:

サイバーセキュリティ研究者らは、中国と連携する脅威グループ「Webworm」による新たな活動を特定した。この活動では、DiscordとMicrosoft Graph APIを悪用した高度なカスタムバックドアが展開され、コマンド&コントロール(C2)通信に利用されていることが明らかになった。今回の活動は、同グループの作戦戦略における広範な進化を反映しており、ステルス性、プロキシベースのインフラストラクチャ、そして検出を回避するための正規プラットフォームの悪用が重視されている。

重要産業を標的とした根強い脅威

Webwormは2022年9月に初めて公に記録されたが、少なくとも同年から活動していたと考えられている。このグループは、政府機関や、ITサービス、航空宇宙、電力などの分野で事業を展開する企業を標的にしてきた。被害者はロシア、ジョージア、モンゴル、そして複数のアジア諸国で確認されている。

この攻撃者はこれまで、Trochilus RAT、Gh0st RAT、HydraqまたはMcRatとしても知られる9002 RATなどのリモートアクセス型トロイの木馬を多用してきた。セキュリティアナリストは、このグループの活動をFishMonger、SixLittleMonkeys、Space Piratesなど、中国関連の複数のグループと関連付けている。中でもSixLittleMonkeysは、中央アジア、ベラルーシ、ロシア、モンゴルの組織に対してGh0st RATとMikroceenマルウェアファミリーを使用したことで注目を集めた。

よりステルス性の高い作戦への移行

過去2年間、Webwormは従来のマルウェアフレームワークから徐々に離れ、ステルス性を重視したプロキシユーティリティや半合法的なネットワークツールへと移行してきた。この移行は、侵害された環境内での永続的なアクセスを維持しながら、検出リスクを低減することを目的としているようだ。

2025年、同グループは新たに発見された2つのバックドアを武器庫に加えた。

EchoCreepは、コマンド&コントロール操作にDiscordを活用し、cmd.exeを介したリモートコマンド実行に加え、ファイル転送もサポートしています。
GraphWormは、Microsoft Graph APIを介して通信する、より高度なインプラントであり、オペレーターが新しいcmd.exeセッションを作成したり、プロセスを起動したり、Microsoft OneDriveを介してファイルをアップロードおよびダウンロードしたり、オペレーターの指示を受け取った際に自身の実行を終了したりすることを可能にします。

研究者らはまた、WordPressのフォークを装ったGitHubリポジトリが、マルウェアのペイロードやSoftEther VPNなどのユーティリティをホストするために利用されていることを確認した。この手法により、悪意のあるインフラストラクチャが正当な開発活動に紛れ込み、検出を困難にしている。SoftEther VPNの使用は、これまで複数の中国のサイバー諜報グループが採用してきた手法と一致する。

地理的範囲の拡大とプロキシインフラストラクチャ

Webwormの最近の攻撃キャンペーンは、ベルギー、イタリア、セルビア、ポーランド、スペインの政府機関や南アフリカの大学など、ヨーロッパの標的への注力が強まっていることを示している。

同時に、攻撃者はTrochilusや9002 RATといった古いマルウェアファミリーを段階的に廃止し、独自のプロキシフレームワークやトンネリングツールに移行しているようだ。このグループに関連するその他のユーティリティには、iox、WormFrp、ChainWorm、SmuxProxy、WormSocketなどがある。調査官は、WormFrpが侵害されたAmazon S3バケットから設定データを取得することを発見した。

これらのプロキシツールは、通信を暗号化し、内部システムと外部システム間で連鎖的な接続をサポートするように設計されており、攻撃者は複数のホストを経由してトラフィックをルーティングしながら、自身の活動を隠蔽することができます。アナリストは、これらのツールがSoftEther VPNと組み合わせて使用されることが多く、攻撃者の動きをさらに隠蔽し、永続性を高めるために利用されていると考えています。

Discordベースの指揮活動が作戦規模を明らかにする

EchoCreepが使用したDiscordインフラストラクチャの分析により、コマンドトラフィックは少なくとも2024年3月21日まで遡ることが明らかになった。研究者らは、悪意のあるDiscordベースのC2環境を通じて送信された433件のメッセージを特定し、50以上の異なる標的に影響を与えたことを確認した。

正確な初期アクセス方法は不明のままだが、調査官らは、Webワームの攻撃者がdirsearchやnucleiといったオープンソースの偵察・悪用ツールを積極的に利用していることを発見した。これらのツールは、Webサーバーのディレクトリを総当たり攻撃し、公開されているファイルを特定し、悪用可能な脆弱性をスキャンするために使用される。

ウェブワームと宇宙海賊を結びつける証拠は乏しい

運用上の類似点はいくつか見られるものの、研究者らはWebwormとSpace Piratesグループの関連性は依然として不明確であると警告している。現在のところ、両者の重複は主に公開されているRATの使用と共通のツールパターンに限られており、2つの脅威グループ間の明確な関係を確立するのに十分な証拠はない。

トレンド

Stacks (STX) 投票報酬詐欺

不正なウェブサイト
サイバーセキュリティ研究者らは最近、proposal-stacks.coというドメインで運営されている不正なウェブサイトを特定しました。このページは正規のStacksプラットフォームを装い、$STX暗号通貨に関連した投票報酬キャンペーンを偽って宣伝しています。このウェブサイトは、正規の企業、組織、または公式のStacks関連団体とは一切関係がありません。その真の目的は、ウォレットから資金を抜...

Dologymant.co.in

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
注意を怠ってインターネットを閲覧すると、ユーザーは様々なサイバー脅威にさらされる可能性があります。悪質なウェブサイトは、訪問者を騙して許可を与えさせたり、悪意のあるコンテンツに接触させたりするために、巧妙な手口を用いることがよくあります。最も一般的な手口としては、信頼できるセキュリティベンダーや正規の認証システムから発信されたように見せかけた偽のCAPTCHA認証や、捏造されたマルウェア警告...

Shift App

望ましくない可能性のあるプログラム
侵入的で信頼できないアプリケーションからデバイスを保護することは、プライバシー、セキュリティ、およびシステムの安定性を維持するために不可欠です。潜在的に不要なプログラム(PUP)は、一見無害に見えることが多いですが、ユーザーを誤解を招くコンテンツ、データ収集行為、ブラウザの操作、およびパフォーマンスの問題にさらす可能性があります。Shiftはそのようなアプリケーションの1つであり、ユーザーは...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
30,754
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
27,019
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Eporner.com

問題
21,261
インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
読み込んでいます...