Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWorm: im Jahr 2025 hat es Back-Türen integriert, die mit seinen Betreibern durch legitime Dienste wie Discord und die Microsoft Graphh API kommunizieren, so dass Nutzung von Kanälen, die oft unbemerkt zwischen normalen Geschäftsverkehr passieren.
Webworm ist nicht neu; es wurde erstmals im Jahr 2022 öffentlich dokumentiert und hat in den letzten Jahren Regierungsagenturen und Unternehmen in kritischen Sektoren wie IT-Dienstleistungen, Luft- und Strom in Ländern Asiens und Europas angegriffen. Was nun ändert, ist die Priorisierung von Werkzeugen, die legitime Nutzen imitieren oder wiederverwenden - SOCKS-Proxies, SoftEther VPN und eigene Proxy-Lösungen - anstatt sich ausschließlich auf traditionelle Ratten zu verlassen. Dieser Ansatz hat das offensichtliche Ziel Erhöhung der Sigilosität und machen Zuschreibung und Erkennung schwierig.
Zwei neue Stücke des Arsenals, die im Jahr 2025 entdeckt wurden, illustrieren diesen Trend: eine Hintertür, die Discord als Befehls- und Kontrollkanal verwendet - EchoCreep genannt - und eine andere, die Microsoft GraphAPI - GraphWorm missbraucht - mit der Fähigkeit, Befehle auszuführen, Dateien an und von OneDrive zu übertragen und selbst zu deaktivieren, wie vom Bediener angewiesen. Die Wahl dieser Plattformen ist nicht lässig: Beide Dienste bieten reiche APIs, verschlüsselten Verkehr und eine breite Benutzerbasis, die die Mischung von schädlichem Verkehr mit legitimer Aktivität erleichtert.
Neben den neuen Backdoors verwendet Webworm weiterhin eine kombinierte Strategie, die die Verwendung von GitHub-Repositories, die als Lures oder Tool-Depots verwendet werden, und die Nutzung von Open Source-Dienstprogrammen (Dirsearch, nuclei) zur Entdeckung von gefährdeten Webservern umfasst. Kundenspezifische Proxies wurden auch identifiziert, die die Kanalisierung von internen und externen Hosts ermöglichen, und die Wiederherstellung von Konfigurationen aus engagierten Cloud-Ressourcen, wie Amazon S3 Buckets. All dies deutet auf eine Kette von Intrusion, die diskrete Beharrlichkeit und kontrollierte laterale Mobilität priorisiert.
Die operativen Auswirkungen von Verteidigungsorganisationen und -teams sind klar: legitime Werkzeuge können Intrusionsvektoren werden und traditionelle Verteidigungen basierend auf Malware-Signaturen oder die Blockierung von verdächtigen Domains verlieren Effizienz. Die Erkennung dieser Art von Angriff erfordert eine reichere Telemetrie (Cloud APIs Activity Log, OAuth Application Records, Endpoints Telemetrie und ausgehende Verkehrskorrelation) und Erkennungsregeln, die sich auf anormales Verhalten und Missbrauch autorisierter Dienste konzentrieren.
In der Praxis ist es angebracht, Identitäts- und Zugriffseinstellungen zu überprüfen: die in Azure / Office 365 registrierten Bewerbungsberechtigungen zu prüfen und einzuschränken, die Zustimmungsrichtlinien für OAuth-Anwendungen anzuwenden, die Sperrung nicht verwalteter Anwendungen und Geräte zu ermöglichen und die Verwendung von Microsoft Graph und OneDrive für ungewöhnliche Upload- / Download-Muster zu überwachen. Microsoft bietet Dokumentationen und Anleitungen zu Graph, die nützlich sind, um die Vektoren zu verstehen, die die Angreifer missbrauchen, und Entwickler und Administratoren sollten diese Punkte überprüfen; weitere technische Informationen sind in der offiziellen Dokumentation verfügbar: Microsoft Graph.
Was Discord betrifft, obwohl es sich um eine verbraucherorientierte Kommunikationsplattform handelt, können ihre APIs und Webbooks als C2-Kanal wiederverwendet werden. Organisationen sollten die Möglichkeit für automatisierte Prozesse oder Nutzer begrenzen, mit externen Messaging-Diensten zu interagieren, Token und exponierte Anmeldeinformationen zu überwachen und die Egress-Politiken zu ergänzen, die unnötige ausgehende Verbindungen einschränken. Die Dokumentation für Discord-Entwickler hilft Ihnen, die Fähigkeiten zu verstehen, die genutzt werden können: Discord Developer Dokumentation.
Das parallele Erscheinungsbild eines als Service angebotenen Malware-Modells, illustriert durch Varianten fokussiert auf IIS-Server und automatische Installationstools unter einem bekannten Forum-Alias, unterstreicht einen weiteren Trend: die Professionalisierung und Vermarktung von Schadwerkzeugen. Defence-Teams sollten technische Maßnahmen mit organisatorischen Verfahren kombinieren: Webserver-Härtung, WAF-Regeln, Anmelde-Rotation, S3-Bucket-Access-Login und regelmäßige Überprüfung von Repository- und Artefaktengenehmigungen in GitHub und dergleichen. Forschungs- und Warnressourcen der Industrie bleiben von wesentlicher Bedeutung; Analyse von Herstellern und Forschungszentren für praktische Anleitungen und IOC kann auf ihren Portalen, z.B. an Drohungsanalysestandorten wie ESET - WeLiveSecurity und auf großen Team Bedrohung Intelligenz Blogs wie Cisco Talos.
Für SOC-Teams und Sicherheitsmanager in den Organisationen ist die sofortige operative Empfehlung, die Sichtbarkeit über die Verwendung von Drittanbieter-APIs und Cloud-Anwendungen zu erhöhen, atypische Prozess-Erstellung und Durchführungserkennung (z.B. cmd.exe aus ungewöhnlichen Anwendungen) zu implementieren, den Zugang zu Cloud-Speicher und ausgehenden Verkehrsmustern zu überprüfen und gezielte Jagden durchzuführen, die Anzeichen für die Verwendung von Kettenproxien oder Tools wie SoftEther suchen. Darüber hinaus sollte das Bewusstsein für Manager über öffentliche Repositories, die legitime Projekte imitieren, und die Überprüfung von Geräten, die von externen Repos heruntergeladen werden, Teil des Sicherheitsprogramms sein.
Kurz gesagt zeigt die Evolution von WebWorm, dass der Umfang nicht mehr ausreicht: die Angreifer nutzen legitime Dienste und administrative Werkzeuge, um ihre Operationen zu verbergen eine effektive Verteidigung erfordert Identitäts- und Cloud-Telemetriesicht, strenge Genehmigungskontrolle und verhaltensbasierte Erkennung. Die Aufrechterhaltung einer proaktiven Sicherheitsposition und die Aktualisierung von Überwachungs- und Antwortprozessen ist die beste Verteidigung gegen diese zunehmend anspruchsvollen Bedrohungen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...