dirsearch や nuclei で脆弱なWebサーバーを探している形跡があるThe Hacker News が伝えたのは、Webworm というサイバー攻撃グループの新しい動きです。
このグループは、2025年に EchoCreep と GraphWorm という2つのバックドアを使い始めたとされています。
バックドアというのは、ひとことで言えば 「侵入後に遠隔操作するための裏口」 です。
攻撃者はこれを使って、感染した端末に命令を送り、ファイルを盗んだり、追加の悪意ある動きをしたりします。
今回のポイントは、通信の隠し方がうまいこと。
EchoCreep は Discord を、GraphWorm は Microsoft Graph API をC2通信に使っています。
普通のサービスを悪用しているので、通信が一見それっぽく見えてしまうんですね。ここはかなり面白いし、同時に厄介だと思います。
Webworm は、Broadcom傘下の Symantec によって2022年に公表された脅威グループです。
少なくとも2022年から活動しているとみられ、政府機関や企業を狙ってきたとされています。
主な標的は、ロシア、ジョージア、モンゴル、そしてアジアの他の国々にある政府やITサービス、航空宇宙、電力関連の組織です。
最近はヨーロッパにも関心を広げていて、ベルギー、イタリア、セルビア、ポーランド、スペインの政府系組織、さらに南アフリカの大学も狙っていたようです。
攻撃では、過去に Trochilus RAT、Gh0st RAT、9002 RAT などの遠隔操作ツール(RAT: Remote Access Trojan、感染端末を遠隔操作するマルウェア)を使っていました。
ただし最近は、こうした“いかにもマルウェア”なものから、より見つかりにくい proxyツール や準正規のツールへ寄っているようです。
この変化は地味ですが重要です。
攻撃者は、派手に暴れるよりも、「普通の通信っぽく見せて静かに長く居座る」 方向へ進化しているわけです。防御側からすると、かなりイヤな進化です。
今回新たに見つかった2つのバックドアには、それぞれ役割の違いがあります。
EchoCreep は Discord をC2として使い、次のようなことができます。
cmd.exe を使ったコマンド実行つまり、感染したPCに「このファイルを送れ」「このコマンドを実行しろ」と命令できるわけです。
かなりシンプルですが、こういう基本機能があるだけでも侵害後の被害は十分大きくなります。
GraphWorm はさらに強力で、以下のことが可能とされています。
cmd.exe セッションを起動OneDrive を使ってファイルのやり取りができるのは、かなり嫌な設計です。
正規のクラウドサービスを経由すると、通信の見た目が自然になりやすいからです。
「業務で使っていそうな通信」に紛れ込むのが、最近の攻撃者のうまいところだと思います。
Webworm は、単にバックドアを入れるだけではありません。
隠す工夫 にかなり力を入れているようです。
Discord や Microsoft Graph API は本来、チャットやMicrosoft系サービス連携のためのものです。
でも攻撃者は、そこをC2通信に使うことで、自前の怪しいサーバーを使わずに済む ようにしています。
これ、発想としては「悪者が目立つ看板を立てずに、みんなが使う商業施設の一角をこっそり使う」みたいなものです。
セキュリティ監視の目をごまかしやすいので、実にいやらしい。
記事によると、Webworm は WordPress のフォークを装った GitHub リポジトリ
github[.]com/anjsdgasdf/WordPress
をステージング場所として使っていたようです。
ステージングというのは、ざっくり言うと 本番前の置き場 です。
マルウェアや関連ツールをいったん置いておく倉庫のようなものですね。
しかも、そこで SoftEther VPN も使っているとされています。
SoftEther VPN 自体は正規のVPNソフトですが、攻撃者が使うと通信の痕跡を隠すのに役立ってしまいます。
「便利な正規ツールが、そのまま悪用される」というのは、セキュリティの世界では本当によくある話です。
ESET は、Webworm が SOCKS proxy や独自の proxy ツールを増やしていると報告しています。
proxy は、通信の中継役です。
これを使うと、攻撃の発信元や経路を分かりにくくできます。
記事中では、次のような独自ツールも挙がっています。
さらに、WormFrp は侵害された Amazon S3 バケットから設定を取得していた とされています。
S3 バケットはクラウド上の保存領域で、そこが悪用されると、攻撃の設定や命令を隠す場所として機能してしまいます。
ESET は、これらのツールが 通信の暗号化 に加え、ネットワーク内外で複数ホストをまたいだ連鎖的な接続 も可能だと述べています。
要するに、侵害された環境の中で“次の踏み台、次の踏み台”とつないでいけるわけで、追跡はかなり面倒になります。
面白いのは、どうやって最初に侵入したかはまだ分かっていない ことです。
ただし、攻撃者は dirsearch や nuclei というオープンソースのツールを使っていた形跡があります。
dirsearch: Webサーバー上の怪しいディレクトリやファイルを探すツールnuclei: 脆弱性を探すためのスキャナーつまり、無作為に突っ込んでいるというより、Webサーバーの穴を丁寧に探している 感じです。
こういう下調べがあると、後の攻撃精度が上がるので、本当に油断できません。
記事では、Webworm と Space Pirates の関係についても触れていますが、ESET はかなり慎重な立場です。
要点としては、オープンソースのRATを使っているだけでは、同じグループだとは言えない ということです。
これは非常にまっとうな見方だと思います。
攻撃グループが同じツールを使うのは珍しくありません。
むしろ、公開済みのツールを使う限り、「似ている=同一」とは限らない のです。
ESET の Eric Howard 氏も、Space Pirates との結びつきは決定的ではないと述べています。
個人的にも、ここは“つながっていそう”という雰囲気だけで断定しない姿勢が大事だと思います。
この記事の後半では、Cisco Talos による BadIIS の分析も紹介されています。
こちらは Webworm とは別の話ですが、これもなかなか興味深いです。
BadIIS は、複数の中国語圏のサイバー犯罪グループに売られたり共有されたりしている可能性がある MaaS(Malware-as-a-Service) 型のマルウェアだとされています。
MaaS はつまり、マルウェアのサブスク商売 みたいなものです。かなり嫌な響きですが、現実にはこういう犯罪の分業が進んでいます。
この BadIIS には、次のような補助ツールもあるとのことです。
Talos によると、専用ビルダーツールで設定ファイルを作り、ペイロードをカスタマイズし、BadIIS バイナリへパラメータを注入できるそうです。
用途としては、
などが挙げられています。
正直、こういう“裏方として育ったマルウェア”は非常に厄介です。
単なる侵入ツールではなく、お金を稼ぐための犯罪インフラ になっているからです。
今回のニュースで重要なのは、単に「新しいマルウェアが出た」という話ではありません。
本質は、攻撃者が正規サービスと正規ツールを組み合わせて、見つかりにくい運用へ進化している ことだと思います。
Discord、Microsoft Graph API、GitHub、SoftEther VPN、OneDrive、S3。
どれも普通に使われるサービスなのに、攻撃者の手にかかると“隠れ蓑”になります。
防御側としては、怪しいURLや未知の実行ファイルだけを見張っていても不十分です。
「正規サービスを使った不自然な通信」 をどう検知するかが、ますます重要になっていると感じます。
個人的には、今回の件は「攻撃者が巧妙になった」というより、**“普通に見えるものを悪用する発想が、もはや定番化している”** ことを改めて示したニュースだと思います。
派手さはないのですが、実際の現場ではこういう静かな侵害のほうがずっと怖いんですよね。
参考: Webworm Deploys EchoCreep and GraphWorm Backdoors Using Discord and MS Graph API