Hacker Webworm ẩn kênh điều khiển malware trong Discord và Microsoft Graph

GraphWorm

• Backdoor giao tiếp thông qua Microsoft Graph API.
• API này cho phép tương tác lập trình với các dịch vụ Microsoft 365, giúp lưu lượng độc hại trông giống lưu lượng doanh nghiệp hợp pháp.

Trong quá trình điều tra, các chuyên gia của ESET đã giải mã hơn 400 tin nhắn Discord liên quan đến chiến dịch, qua đó hiểu rõ cách kẻ tấn công điều khiển máy bị nhiễm và quản lý dữ liệu bị đánh cắp.

Lợi dụng các dịch vụ cloud hợp pháp

Điểm đáng chú ý trong chiến dịch của Webworm là việc lợi dụng những nền tảng phổ biến và đáng tin cậy để che giấu hoạt động gián điệp. ESET ghi nhận nhóm đã sử dụng nhiều dịch vụ quen thuộc, bao gồm:

• Discord – làm kênh gửi lệnh và truyền dữ liệu cho EchoCreep.
• Microsoft Graph API – cho phép GraphWorm giao tiếp với hạ tầng điều khiển thông qua môi trường Microsoft 365.
• Microsoft OneDrive – được dùng để lưu trữ hoặc di chuyển dữ liệu bị đánh cắp.
• GitHub – hỗ trợ hạ tầng vận hành malware và trao đổi dữ liệu.

Khi lưu lượng độc hại đi qua các dịch vụ này, hệ thống bảo mật rất khó phân biệt giữa hoạt động bình thường và hoạt động tấn công. Nhiều tổ chức cũng không thể chặn hoàn toàn những dịch vụ như Microsoft 365 hoặc Discord vì chúng phục vụ công việc hàng ngày.

Các mục tiêu tại châu Âu

Phân tích của ESET cho thấy Webworm đã chuyển trọng tâm sang các tổ chức chính phủ ở châu Âu.

Các quốc gia bị ghi nhận có mục tiêu trong chiến dịch gồm:

• Bỉ
• Ý
• Ba Lan
• Serbia
• Tây Ban Nha

Ngoài ra, nhóm nghiên cứu cũng phát hiện hoạt động liên quan đến một trường đại học tại Nam Phi, cho thấy chiến dịch có phạm vi rộng hơn châu Âu.

Danh tính cụ thể của các bộ hoặc cơ quan chính phủ bị nhắm mục tiêu chưa được công bố công khai.

Thay đổi chiến thuật: rời bỏ malware truyền thống

Webworm được ghi nhận hoạt động ít nhất từ năm 2022 và trước đây từng sử dụng các remote access trojan (RAT) như Trochilus và 9002 RAT (McRat) để kiểm soát máy nạn nhân.

Tuy nhiên, theo ESET, nhóm này đang chuyển sang các công cụ proxy, tunneling và backdoor nhẹ hơn.

Cách tiếp cận mới mang lại một số lợi thế:

• Dấu vết malware trên máy nạn nhân nhỏ hơn
• Lưu lượng mạng giống với hoạt động hợp pháp
• Ít chỉ dấu rõ ràng cho phần mềm antivirus hoặc EDR

Khi kết hợp các kỹ thuật này với kênh điều khiển dựa trên dịch vụ cloud, kẻ tấn công có thể duy trì quyền truy cập lâu dài mà vẫn giảm nguy cơ bị phát hiện.

Vì sao kiểu tấn công này khó phát hiện

Chiến dịch Webworm phản ánh xu hướng ngày càng phổ biến trong gián điệp mạng cấp quốc gia: ẩn hoạt động độc hại trong hạ tầng hợp pháp.

Khi tin tặc sử dụng các nền tảng phổ biến như Discord, OneDrive hoặc API của Microsoft, hệ thống bảo mật buộc phải phân tích hành vi chi tiết thay vì chỉ chặn tên miền hoặc địa chỉ IP. Điều này khiến việc phòng thủ trở nên phức tạp hơn nhiều.

Theo ESET, sự chuyển dịch của Webworm sang kênh command‑and‑control dựa trên cloud và công cụ proxy kín đáo hơn là dấu hiệu cho thấy các chiến dịch gián điệp mạng đang ngày càng tinh vi và khó phát hiện.