GraphWorm惡意程式濫用微軟OneDrive作為C2通道,利用雲端服務隱藏攻擊流量

來源: iThome | ESET報告 | 2026-05-22 URL: https://www.ithome.com.tw/news/176028

核心摘要

ESET發現與中國相關的駭客組織 Webworm 開發新型惡意程式 GraphWorm,針對歐洲政府機構發動攻擊,利用微軟合法雲端服務隱藏C2通訊流量。

GraphWorm 技術細節

項目內容
C2管道微軟 Graph API + OneDrive
加密方式AES-256-CBC
編碼Base64
額外功能支援Proxy通訊隧道(Tunneling)

運作機制

  1. 感染主機後,透過Graph API聯繫攻擊者控制的OneDrive帳號
  2. 為每臺受害主機建立獨立資料夾
  3. 從特定子資料夾讀取攻擊指令
  4. 將執行結果回傳至另一子資料夾
  5. 通訊流量偽裝為合法雲端服務流量

相關惡意程式

  • EchoCreep:同為Webworm新型惡意程式,以 Discord 作為C2通道

威脅趨勢

攻擊者正越來越濫用受信任的雲端服務,繞過傳統資安防護系統,企業將更難區分合法雲端流量與惡意活動。

  • Webworm 自去年開始使用GraphWorm
  • 雲端服務C2濫用趨勢持續擴大,傳統流量偵測機制面臨挑戰

衍生頁面