„`html
Was ist passiert?
Sicherheitsforscher haben 2025 neue Aktivitäten der chinesisch ausgerichteten Hackergruppe Webworm dokumentiert. Die Bedrohungsakteure setzen dabei zwei neue Custom Backdoors namens EchoCreep und GraphWorm ein, die Discord und die Microsoft Graph API für Command-and-Control-Kommunikation (C2) missbrauchen. Diese innovative Angriffsweise nutzt legitime Cloud-Dienste, um Sicherheitsmechanismen zu umgehen.
Hintergrund & Bedeutung
Webworm wurde erstmals im September 2022 von Symantec (Broadcom) öffentlich dokumentiert und ist seit mindestens 2022 aktiv. Die Gruppe richtet sich primär gegen Regierungsbehörden. Der Einsatz von Discord und Microsoft Graph API als C2-Kanäle ist besonders besorgniserregend, da diese Services schwer zu blockieren sind und das verdächtige Traffic-Volumen minimieren. GraphWorm nutzt speziell Microsoft-Infrastruktur, während EchoCreep Discord-Webhooks für Befehle missbraucht. Diese Strategie erschwert Threat Intelligence und Incident Response erheblich.
Empfehlungen fuer IT-Teams
- API-Monitoring: Überwachen Sie Microsoft Graph API-Zugriffe auf ungewöhnliche Aktivitäten und implementieren Sie strenge Authentifizierung
- Discord-Blockierung: Erwägen Sie Discord in Produktionsumgebungen zu beschränken oder Traffic zu monitoren
- EDR-Lösungen: Setzen Sie Endpoint Detection & Response Tools ein, um verdächtige Prozesse zu erkennen
- Threat Intelligence: Integrieren Sie IoCs (Indicators of Compromise) in ihre Sicherheitssysteme
- Zugriffskontrolle: Implementieren Sie Zero-Trust-Prinzipien für Cloud-Services
Fazit
Webworm demonstriert eine zunehmende Sophistikation bei der Nutzung legitimer Cloud-Services als Angriffsvektor. Organisationen müssen ihre Cloud-Sicherheit intensivieren und verdächtige API-Aktivitäten konsequent überwachen.
Quelle: Original Artikel
„`