|
Jena (ots) - ESET-Forscher entschlüsseln über 400 Nachrichten der Gruppe
"Webworm" und entdecken neue Tarntechniken für Cyberangriffe
Sicherheitsforscher von ESET haben neue Angriffstechniken der China-nahen
APT-Gruppe "Webworm" (https://www.welivesecurity.com/de/eset-research/hacker-gru
ppe-webwurm-nutzt-neue-wuhltechniken) aufgedeckt, die zuletzt verstärkt
Regierungsorganisationen in Europa ins Visier genommen hat. Die Angreifer
missbrauchten dabei unter anderem Discord, Microsoft OneDrive und GitHub, um
Schadsoftware zu steuern, Daten abzuziehen und ihre Kommunikation innerhalb
legitimer Plattformen zu verstecken.
Betroffen waren Regierungsorganisationen in Belgien, Italien, Polen, Serbien und
Spanien. Darüber hinaus kompromittierte die Gruppe offenbar auch eine
Universität in Südafrika. Im Zuge der Analyse entschlüsselten die Forscher mehr
als 400 Discord-Nachrichten der Angreifer und identifizierten Server, die zur
Aufklärung gegen mehr als 50 potenzielle Ziele eingesetzt wurden.
"Wir beobachten zunehmend, dass Angreifer ihre Infrastruktur hinter bekannten
Cloud- und Kommunikationsdiensten verstecken", erklärt ESET-Forscher Eric
Howard, der die aktuellen Aktivitäten von Webworm untersucht hat. "Dadurch wird
es für Unternehmen und Behörden deutlich schwieriger, schädliche Aktivitäten im
normalen Netzwerkverkehr zu erkennen."
Angriffe verstecken sich in legitimen Cloud-Diensten
Webworm setzt verstärkt auf Dienste und Plattformen, die in Unternehmen und
Behörden alltäglich genutzt werden. Statt klassischer Malware-Server nutzten die
Angreifer unter anderem Discord für die Kommunikation mit kompromittierten
Systemen sowie Microsoft OneDrive und die Microsoft Graph API zur Steuerung
ihrer Schadsoftware.
Im Zentrum der aktuellen Kampagne stehen zwei neue Werkzeuge: die
Discord-basierte Backdoor "EchoCreep" sowie "GraphWorm", das über
Microsoft-Cloud-Dienste kommuniziert. EchoCreep nutzte Discord unter anderem zum
Hochladen von Dateien, zur Übermittlung von Befehlen und zum Versand von
Statusmeldungen kompromittierter Systeme. GraphWorm wiederum legte für jedes
Opfer eigene Verzeichnisse innerhalb von OneDrive an, um Daten auszutauschen und
neue Befehle abzurufen.
"Die Gruppe versteckt ihre Aktivitäten gezielt innerhalb legitimer
Cloud-Dienste", so Howard. "Das erschwert nicht nur die Erkennung, sondern hilft
den Angreifern auch dabei, sich langfristig in kompromittierten Netzwerken zu
bewegen."
Versteckte Proxy-Netzwerke und missbrauchte Cloud-Infrastruktur
Neben Discord und OneDrive beobachteten die ESET-Forscher auch den Einsatz
mehrerer individuell entwickelter Proxy-Werkzeuge. Diese dienten offenbar dazu,
versteckte Kommunikationswege aufzubauen und die tatsächliche Infrastruktur der
Angreifer zu verschleiern.
Nach Einschätzung der Analysten baut Webworm damit ein komplexes Netzwerk aus
Proxy- und Tunnelverbindungen auf, das sich über kompromittierte Systeme und
Cloud-Dienste erstreckt. Besonders kritisch bewerten die Forscher dabei den
Missbrauch von Cloud-Speichern. So nutzte die Gruppe einen manipulierten
AWS-S3-Bucket, um Konfigurationsdaten abzurufen und Daten aus betroffenen
Netzwerken abzuziehen.
"Offenbar konnten die Angreifer kompromittierte Cloud-Speicher nicht nur für
ihre Kommunikation nutzen, sondern auch für Datenexfiltration", erklärt Howard.
"Die betroffenen Organisationen trugen dabei unbemerkt sogar die
Infrastrukturkosten der Angreifer."
Zwischen Dezember 2025 und Januar 2026 luden die Betreiber mindestens 20 Dateien
in den kompromittierten Speicher hoch. Zwei davon stammten offenbar aus einer
staatlichen Einrichtung in Spanien.
Fokus der Gruppe verlagert sich nach Europa
Webworm wird seit mehreren Jahren mit China-nahen Aktivitäten in Verbindung
gebracht. Während die Gruppe früher vor allem Ziele in Asien attackierte,
beobachten die ESET-Forscher seit 2024 eine deutliche Verlagerung des Fokus nach
Europa. Die aktuellen Kampagnen richteten vor allem gegen
Regierungsorganisationen und öffentliche Einrichtungen. Gleichzeitig entwickelt
die Gruppe ihre Werkzeuge und Taktiken kontinuierlich weiter.
Statt klassischer Remote-Access-Trojaner setzt Webworm inzwischen verstärkt auf
legitime Dienste, Proxy-Netzwerke und individuell angepasste Werkzeuge, die
deutlich schwerer zu erkennen sind.
GitHub-Repositories als Malware-Verteiler
Darüber hinaus nutzte die Gruppe GitHub-Repositories, um Schadsoftware und
weitere Werkzeuge bereitzustellen. In einem Fall tarnte sich ein Repository
sogar als legitimer WordPress-Fork, um möglichst unauffällig zu wirken.
Im Rahmen ihrer Analyse identifizierten die ESET-Forscher außerdem Hinweise
darauf, dass Webworm Open-Source-Tools zur Schwachstellensuche und
Webserver-Aufklärung einsetzt. Zudem fanden die Analysten Hinweise auf den
möglichen Einsatz öffentlich verfügbarer Exploits gegen Webmail-Systeme.
ESET geht davon aus, dass Webworm künftig verstärkt auf Cloud-Plattformen,
Kommunikationsdienste und neue Tarntechniken setzen wird, um
Sicherheitsmechanismen zu umgehen und Angriffe schwerer erkennbar zu machen.
Weitere technische Details zu den aktuellen Aktivitäten von Webworm
veröffentlicht ESET Research auf WeLiveSecurity (https://www.welivesecurity.com/
de/eset-research/hacker-gruppe-webwurm-nutzt-neue-wuhltechniken) .
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
mailto:christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
mailto:Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
mailto:Philipp.plum@eset.de
Folgen Sie ESET:
https://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Weiteres Material: http://presseportal.de/pm/71571/6278696
OTS: ESET Deutschland GmbH
|
