„`html
Was ist passiert?
Die chinesische Hackergruppe Webworm setzt seit 2025 neue Custom-Backdoors namens EchoCreep und GraphWorm ein. Diese Malware nutzt Discord und die Microsoft Graph API als Command-and-Control-Kanäle, um mit kompromittierten Systemen zu kommunizieren. Damit umgehen die Angreifer traditionelle Netzwerk-Sicherheitsmechanismen durch die Nutzung legitimer Cloud-Services.
Hintergrund & Bedeutung
Webworm wurde erstmals im September 2022 von Symantec (Broadcom) dokumentiert und ist seit mindestens 2022 aktiv. Die Gruppe konzentriert sich primär auf Regierungsbehörden und kritische Infrastruktur. Die Verwendung von Discord und Microsoft Graph API als C2-Kanäle ist besonders kritisch, da diese Services in Unternehmensumgebungen häufig erlaubt sind und damit die Detektion erheblich erschwert wird. Dies demonstriert eine Professionalisierung der Angriffsmethoden und ein tiefes Verständnis für moderne Sicherheitsarchitekturen.
Empfehlungen für IT-Teams
- Netzwerk-Monitoring: Überwachen Sie ausgehende Verbindungen zu Discord und Microsoft Graph API auf verdächtige Muster
- API-Authentifizierung: Implementieren Sie Multi-Faktor-Authentifizierung und strenge Zugriffskontrolle für Graph API
- Endpoint Detection: Deployen Sie EDR-Lösungen zur Erkennung verdächtiger Prozessausführungen
- Regelmäßige Updates: Halten Sie alle Systeme und Microsoft-Produkte auf dem neuesten Stand
- Threat Intelligence: Integrieren Sie aktuelle IOCs (Indicators of Compromise) in Ihre Security-Tools
Fazit
Webworms neue Backdoors zeigen, dass Angreifer zunehmend legitime Cloud-Services als Kommunikationskanäle missbrauchen. Organisationen müssen ihre Sicherheitsstrategie entsprechend anpassen und das Verhalten dieser Services intensiver überwachen.
Quelle: Original Artikel
„`