GraphWorm惡意程式濫用OneDrive作為C2通道Webworm攻擊歐洲政府
概述
ESET於2026年5月22日揭露,中國相關駭客組織 Webworm 開發新型後門程式 GraphWorm,針對歐洲政府機構發動攻擊。GraphWorm 的核心特徵是濫用微軟 Graph API 與 OneDrive 作為命令與控制(C2)通道,將惡意流量偽裝為合法雲端服務流量,大幅提高偵測難度。
技術細節
| 項目 | 內容 |
|---|---|
| C2管道 | 微軟 Graph API + OneDrive |
| 加密方式 | AES-256-CBC |
| 編碼 | Base64 |
| 額外功能 | Proxy通訊隧道(Tunneling) |
運作機制
- 感染主機後,透過 Graph API 聯繫攻擊者控制的 OneDrive 帳號
- 為每臺受害主機建立獨立資料夾(避免各受害者互相干擾)
- 從特定子資料夾讀取攻擊指令
- 將執行結果回傳至另一子資料夾
- 全程流量偽裝為正常 Microsoft 365 雲端存取
相關惡意程式
- EchoCreep:同為 Webworm 新型惡意程式,改以 Discord 作為 C2 通道
威脅趨勢意義
此案例代表攻擊者「雲端服務 C2 化」的成熟趨勢:
- 利用受信任的 SaaS 平台作為 C2,繞過傳統基於 IP/域名的黑名單偵測
- 企業更難區分合法雲端流量與惡意活動
- Webworm 自2025年起已部署 GraphWorm,顯示長期部署意圖
防禦建議
- 監控異常 Graph API 呼叫模式(頻率、資料夾結構)
- 限制非必要的 OneDrive/Graph API 存取權限
- 部署能分析雲端服務行為異常的 CASB 或 NDR 工具