GraphWorm惡意程式濫用微軟OneDrive作為C2通道,利用雲端服務隱藏攻擊流量
來源: iThome | ESET報告 | 2026-05-22 URL: https://www.ithome.com.tw/news/176028
核心摘要
ESET發現與中國相關的駭客組織 Webworm 開發新型惡意程式 GraphWorm,針對歐洲政府機構發動攻擊,利用微軟合法雲端服務隱藏C2通訊流量。
GraphWorm 技術細節
| 項目 | 內容 |
|---|---|
| C2管道 | 微軟 Graph API + OneDrive |
| 加密方式 | AES-256-CBC |
| 編碼 | Base64 |
| 額外功能 | 支援Proxy通訊隧道(Tunneling) |
運作機制
- 感染主機後,透過Graph API聯繫攻擊者控制的OneDrive帳號
- 為每臺受害主機建立獨立資料夾
- 從特定子資料夾讀取攻擊指令
- 將執行結果回傳至另一子資料夾
- 通訊流量偽裝為合法雲端服務流量
相關惡意程式
- EchoCreep:同為Webworm新型惡意程式,以 Discord 作為C2通道
威脅趨勢
攻擊者正越來越濫用受信任的雲端服務,繞過傳統資安防護系統,企業將更難區分合法雲端流量與惡意活動。
- Webworm 自去年開始使用GraphWorm
- 雲端服務C2濫用趨勢持續擴大,傳統流量偵測機制面臨挑戰
衍生頁面
- GraphWorm惡意程式濫用OneDrive作為C2通道Webworm攻擊歐洲政府 — 核心概念頁面
- webworm — 攻擊組織
- eset — 發現機構