Thought Leadership
Die Spionagegruppe Webworm greift europäische Regierungen mit neuen Backdoors an. Zur Steuerung nutzt sie Discord und die Microsoft Graph API.
Die unter dem Namen Webworm bekannte, mutmaßlich staatlich gelenkte Cyberspionage-Gruppe aus dem chinesischen Raum hat ihre technologische Infrastruktur umfassend modernisiert. Nach aktuellen Untersuchungen von IT-Sicherheitsanalysten des Software-Herstellers ESET setzt die Gruppierung hochentwickelte, maßgeschneiderte Backdoors ein, die legitime Cloud-Dienste und Anwendungsschnittstellen westlicher Anbieter für ihre Command-and-Control-Kommunikation missbrauchen. Die neu identifizierten Schadprogramme tragen die Bezeichnungen EchoCreep und GraphWorm. Sie nutzen die Chat-Plattform Discord beziehungsweise die Microsoft Graph API, um Steuerungsbefehle zu empfangen und gestohlene Daten unbemerkt aus den Netzwerken der Opfer auszuschleusen. Parallel dazu lässt sich eine signifikante geografische Neuausrichtung der Angriffsaktivitäten in Richtung europäischer Regierungsstellen beobachten.
Schadprogramme EchoCreep und GraphWorm
Die Einbindung legitimer Web-Infrastrukturen in den Schadcode dient primär dazu, den Datenverkehr der Spionage-Software im normalen Netzwerkrauschen von Unternehmen und Behörden zu verbergen. Das Schadprogramm EchoCreep ist so konzipiert, dass es ausgehende Verbindungen zu den Servern der Kommunikationsplattform Discord aufbaut. Über dedizierte Kanäle empfängt die Software Befehle zur Ausführung auf dem kompromittierten System. EchoCreep verfügt über funktionale Module zum Hoch- und Herunterladen von Dateien sowie zur direkten Befehlsausführung über die Windows-Eingabeaufforderung. Die forensische Analyse der genutzten Discord-Infrastruktur ergab, dass erste Testbefehle bereits auf den 21. März 2024 zurückgehen. Insgesamt registrierten die Forscher 433 übertragene Nachrichten über diesen C2-Kanal.
Das zweite neu eingeführte Werkzeug, GraphWorm, stellt eine technologisch komplexere Backdoor dar. GraphWorm kommuniziert direkt über die Microsoft Graph API, eine undokumentierte oder standardisierte Schnittstelle für den Zugriff auf Cloud-Dienste von Microsoft 365. Die Schadsoftware nutzt diese Verbindung, um eine interaktive Sitzung der Eingabeaufforderung zu starten und neue Betriebssystemprozesse autonom zu initiieren. Ein wesentlicher Bestandteil von GraphWorm ist die direkte Interaktion mit dem Cloud-Speicherdienst Microsoft OneDrive. Das Programm kann sensible Dokumente direkt in den OneDrive-Speicher der Angreifer hochladen oder sekundäre Schadsoftware-Komponenten von dort nachladen. Zudem besitzt das Werkzeug eine Selbstschutz-Funktion, die es dem Programm erlaubt, seine eigene Ausführung und Präsenz auf dem System nach dem Erhalt eines spezifischen Abbruchsignals der Betreiber vollständig zu beenden.
Strategischer Wechsel hin zu legitimen Proxy-Werkzeugen
Die Entdeckung von EchoCreep und GraphWorm markiert einen strukturellen Wandel im Arsenal von Webworm. Sicherheitsforscher beobachten seit geraumer Zeit, dass die Gruppe traditionelle Remote-Access-Trojaner wie Trochilus RAT oder 9002 RAT, welcher auch unter den Bezeichnungen Hydraq oder McRat bekannt ist, zunehmend ausmustert. An deren Stelle treten spezialisierte, teils legitime Proxy- und VPN-Werkzeuge. Diese Taktik erschwert die Erkennung durch Endpoint-Detection-and-Response-Systeme, da die verwendeten Programme im administrativen Alltag häufig legal eingesetzt werden.
Webworm kombiniert eigene Entwicklungen wie WormFrp, ChainWorm, SmuxProxy und WormSocket mit der quelloffenen Software SoftEther VPN. Diese proxybasierten Werkzeuge sind in der Lage, den Netzwerkverkehr stark zu verschlüsseln und über mehrere kompromittierte Zwischenstationen hinweg zu verketten. Dies geschieht sowohl innerhalb des Zielnetzwerks als auch nach außen. Zur Verteilung der Werkzeuge und als Zwischenspeicher nutzen die Akteure unter anderem manipulierte Amazon S3 Buckets, von denen das Tool WormFrp seine Konfigurationsdaten bezieht. Als logistische Basis im Netz dient der Gruppe unter anderem ein GitHub-Repository, das sich als legitimer Ableger des Content-Management-Systems WordPress tarnt, um bei Sicherheitsüberprüfungen nicht aufzufallen.
Geografische Neuausrichtung und Angriffsvektoren der Gruppe
Die Gruppe Webworm, die im September 2022 erstmals vom Sicherheitsunternehmen Symantec öffentlich dokumentiert wurde, war historisch vor allem in Russland, Georgien, der Mongolei und verschiedenen asiatischen Staaten aktiv. Zu den primären Zielsektoren gehörten Regierungsbehörden, Luft- und Raumfahrtunternehmen, IT-Dienstleister sowie kritische Infrastrukturen im Bereich der elektrischen Energieversorgung. Technologische und personelle Überschneidungen bestehen laut Analysten zu anderen chinesischen Bedrohungsclustern, die unter den Namen FishMonger oder Aquatic Panda, Space Pirates und SixLittleMonkeys geführt werden. Letztere sind bekannt für den Einsatz der Schadsoftware Mikroceen in Zentralasien.
In jüngster Zeit hat Webworm seinen Fokus jedoch deutlich nach Europa verlagert. Zu den verifizierten Opfern gehören staatliche Organisationen und Ministerien in Belgien, Italien, Serbien, Polen und Spanien. Außerhalb Europas wurde zudem eine lokale Universität in Südafrika kompromittiert. Der exakte Mechanismus des Erstzugangs zu den Netzwerken ist in den aktuellen Fällen noch Gegenstand von Untersuchungen. Die Forensiker stellten jedoch fest, dass die Gruppe verstärkt quelloffene Sicherheitswerkzeuge wie dirsearch und nuclei einsetzt. Mit diesen Tools tasten die Angreifer die Webserver der Zielorganisationen automatisiert nach ungeschützten Verzeichnissen, verwaisten Dateien und bekannten Software-Schwachstellen ab, um einen Einstiegspunkt zu finden.
Kommerzielle Verteilung von BadIIS über Malware-as-a-Service
Flankiert werden diese Erkenntnisse über chinesische Cyberoperationen durch einen parallelen Bericht des Forschungsteams Cisco Talos. Die Analysten deckten eine modernisierte Variante der Schadsoftware BadIIS auf. Diese wird mutmaßlich unter einem kommerziellen Malware-as-a-Service-Modell von einem Akteur unter dem Pseudonym lwxat an verschiedene unabhängige, chinesischsprachige Cybercrime-Gruppierungen vertrieben. Die Entwicklung dieser IIS-spezifischen Schadsoftware lässt sich bis zum 30. September 2021 zurückverfolgen.
Der Entwickler bietet den Käufern ein modulares Paket an, das automatisierte Installationsprogramme, Dropper und Mechanismen zur dauerhaften Systemverankerung umfasst. Diese Werkzeuge stellen sicher, dass die Schadsoftware den Neustart des Webservers übersteht und gängige Sicherheitslösungen umgeht. Ein zentraler Bestandteil des Dienstes ist ein dedizierter Builder. Mit diesem Werkzeug können die Kunden eigenständig Konfigurationsdateien generieren und die BadIIS-Binärdateien mit individuellen Parametern anpassen. Die kriminellen Einsatzmöglichkeiten reichen von der unerlaubten Weiterleitung des Benutzer-Traffics auf illegale Webseiten über Content-Hijacking bis hin zur Manipulation von Suchmaschinen-Crawlern. Letzteres dient der Durchführung von schadhaftem Suchmaschinen-Optimierungsbetrug durch das automatisierte Einschleusen von Backlinks auf kompromittierten Behörden- und Unternehmensservern.
