GraphWorm惡意程式濫用OneDrive作為C2通道Webworm攻擊歐洲政府

概述

ESET於2026年5月22日揭露,中國相關駭客組織 Webworm 開發新型後門程式 GraphWorm,針對歐洲政府機構發動攻擊。GraphWorm 的核心特徵是濫用微軟 Graph APIOneDrive 作為命令與控制(C2)通道,將惡意流量偽裝為合法雲端服務流量,大幅提高偵測難度。

技術細節

項目內容
C2管道微軟 Graph API + OneDrive
加密方式AES-256-CBC
編碼Base64
額外功能Proxy通訊隧道(Tunneling)

運作機制

  1. 感染主機後,透過 Graph API 聯繫攻擊者控制的 OneDrive 帳號
  2. 為每臺受害主機建立獨立資料夾(避免各受害者互相干擾)
  3. 從特定子資料夾讀取攻擊指令
  4. 將執行結果回傳至另一子資料夾
  5. 全程流量偽裝為正常 Microsoft 365 雲端存取

相關惡意程式

  • EchoCreep:同為 Webworm 新型惡意程式,改以 Discord 作為 C2 通道

威脅趨勢意義

此案例代表攻擊者「雲端服務 C2 化」的成熟趨勢:

  • 利用受信任的 SaaS 平台作為 C2,繞過傳統基於 IP/域名的黑名單偵測
  • 企業更難區分合法雲端流量與惡意活動
  • Webworm 自2025年起已部署 GraphWorm,顯示長期部署意圖

防禦建議

  • 監控異常 Graph API 呼叫模式(頻率、資料夾結構)
  • 限制非必要的 OneDrive/Graph API 存取權限
  • 部署能分析雲端服務行為異常的 CASB 或 NDR 工具

來源文章

相關頁面

  • webworm — 攻擊組織(中國相關 APT)
  • eset — 發現並揭露此事件的資安機構