Исследователи в области кибербезопасности зафиксировали новую активность угрозы, связанной с Китаем, известной как Webworm, в 2025 году. Эта группа использует специальные бэкдоры, которые применяют Discord и Microsoft Graph API для связи с командными центрами (C2 или C&C). Webworm была впервые публично задокументирована компанией Symantec, входящей в состав Broadcom, в сентябре 2022 года и, по оценкам, активно действует с 2022 года, нацеливаясь на государственные учреждения.

Эксперты отмечают, что использование Discord в качестве канала для командования и управления позволяет злоумышленникам скрывать свои действия в легитимных приложениях, что усложняет их обнаружение. Microsoft Graph API также предоставляет Webworm дополнительные возможности для обхода средств защиты и доступа к целевым системам.

Согласно информации, Webworm разрабатывает новые версии своих бэкдоров, EchoCreep и GraphWorm, которые усиливают эффективность атак и адаптируются к изменениям в среде безопасности. Эти инструменты позволяют злоумышленникам не только получать доступ к конфиденциальной информации, но и выполнять удаленное управление зараженными системами.

Анализ данных показывает, что Webworm фокусируется на атаках на правительственные учреждения, что указывает на возможные цели, связанные с национальной безопасностью. Исследователи подчеркивают важность повышения осведомленности о подобных угрозах и необходимости внедрения эффективных мер защиты.

Специалисты рекомендуют организациям, особенно в государственном секторе, проводить регулярные аудиты безопасности и обучать сотрудников методам предотвращения фишинга и других форм социальной инженерии, которые могут использоваться для внедрения вредоносного ПО.

Источник новости:
The Hacker News

Читать полностью