中國APT組織Webworm鎖定歐洲政府機構，濫用Discord與Microsoft Graph打造隱密C2伺服器

資安廠商ESET近期發布研究報告，揭露中國國家級進階持續性威脅組織Webworm的最新攻擊行動。該組織已將主要目標從亞洲轉移至歐洲，針對比利時、義大利、塞爾維亞、西班牙及波蘭等國的政府機構發動攻擊，並在南非偵測到額外的攻擊活動。值得關注的是，Webworm在2025年推出兩款全新後門程式，分別利用Discord聊天平台與Microsoft Graph API作為指揮控制（C2）通道，大幅提升攻擊行動的隱蔽性。

戰略重心西移，鎖定歐洲政府

Webworm最早於2022年被公開披露，起初以亞洲地區組織為主要攻擊目標。根據ESET此次發布的研究報告，該組織的攻擊活動範圍涵蓋2024年初至2025年初，其戰術、技術與程序（TTPs）在此期間發生顯著演變。

在早期攻擊行動中，Webworm主要仰賴McRat與Trochilus等知名惡意程式家族。然而，這類工具因特徵碼明確、流量模式固定，易遭防禦方偵測攔截。因此，該組織在2024年大幅調整策略，轉而採用代理工具（proxy tools）作為主要手段，包含合法或半合法的SOCKS代理工具如SoftEther VPN，以及其他網路解決方案。代理工具的本質是在受害者與攻擊者之間建立中間層，相較於傳統後門程式，隱蔽性更高，也更難被特徵碼比對偵測。

EchoCreep：把Discord變成攻擊指揮台

第一款新型後門EchoCreep，以廣受遊戲玩家與企業團隊使用的即時通訊平台Discord作為C2通道。ESET研究人員解密了共400則Discord訊息後發現，EchoCreep透過Discord上傳檔案、回傳執行狀態報告，並接收來自攻擊者的操作指令。攻擊者同時利用精心構造的HTTP請求，將網路通訊流量混入Discord的應用程式介面（Application Programming Interface，API）之中，使惡意流量在外觀上與一般Discord使用者的通訊難以區辨。

在基礎設施配置上，Webworm為每名受害者建立獨立的Discord伺服器，有效實現不同目標之間的隔離，即便單一C2管道遭到識別，也不致波及其他攻擊行動。ESET進一步指出，解密Discord訊息後追蹤到一個GitHub儲存庫，最終比對出與已知Webworm IP位址相符的節點，成為本次歸因分析的關鍵依據。

GraphWorm：藏身Microsoft生態系的間諜後門

第二款後門GraphWorm則選擇微軟（Microsoft）旗下的Graph API作為C2機制，藉由OneDrive端點下發新任務並回傳受害者資訊。與EchoCreep相同，GraphWorm同樣為每名受害者配置獨立的OneDrive目錄，以維持攻擊行動的獨立性與抗溯源能力。

Microsoft Graph API是微軟雲端服務的核心介面，廣泛應用於企業的日常業務流程中。攻擊者選擇此路徑，正是看準其流量極難與正常企業通訊區隔，傳統基於黑名單或特徵比對的防禦機制幾乎無從攔截。

多層代理網路：刻意打造的隱形基礎設施

除兩款新型後門外，Webworm持續運用多種代理工具構建複雜的隱蔽通訊鏈，包含通訊埠轉發工具iox，以及自製工具ChainWorm、SmuxProxy、WormFrp與WormSocket。ESET研究人員研判，Webworm將上述工具與SoftEther VPN搭配使用，藉此掩蓋行蹤、強化隱蔽效果，並可能透過誘使受害者執行代理程式，逐步建構規模更大的隱藏網路。

ESET亦觀察到Webworm利用自製代理工具WormFrp，從遭入侵的Amazon S3儲存桶擷取設定檔，顯示該組織持續將合法雲端基礎設施納入攻擊鏈。

此外，Webworm亦在GitHub儲存庫預先暫存惡意程式與工具，便於攻擊者在入侵後迅速於受害者機器上完成部署。

初始入侵手法仍待釐清，漏洞掃描為主要線索

目前Webworm的初始入侵向量仍未完全明朗。ESET研究員Eric Howard指出，該組織使用開源漏洞掃描工具，針對目標網路的網頁伺服器目錄進行爬取與漏洞探測，研判攻擊者可能透過受害者環境中的安全漏洞取得初始存取權限，再於入侵後部署上述後門程式。

就攻擊目的而言，Howard表示Webworm的行動意圖在於盡可能深入滲透目標網路，以執行網路間諜任務，持續蒐集情報。

防禦建議：修補漏洞並監控非標準應用程式流量

針對此一威脅，ESET提出兩項核心防禦建議。首先，由於漏洞探測是Webworm入侵鏈的關鍵環節，企業應確保系統持續更新修補，並落實縮減暴露於外部的資產攻擊面。其次，企業資安團隊應主動審查非標準行程與應用程式向Discord、Microsoft Graph及Amazon S3等端點發起的通訊行為，並特別留意異常的資料傳輸活動，尤其當此類流量並非屬於日常工作流程的一部分時，應立即列為調查優先對象。

ESET已在研究報告中公布相關入侵指標（IoC），供各組織進行環境比對與威脅情資參考。

本文轉載自darkreading。