Webworm nutzt Discord und MS Graph API für Cyberangriffe

Cybersecurity-Forscher haben neue Aktivitäten des mit China assoziierten Bedrohungsakteurs Webworm identifiziert, der im Jahr 2025 maßgeschneiderte Backdoors einsetzt. Diese Backdoors nutzen Discord und die Microsoft Graph API für die Kommunikation im Rahmen von Command-and-Control (C2) Operationen. Webworm wurde erstmals im September 2022 von Symantec, einer Tochtergesellschaft von Broadcom, öffentlich dokumentiert und wird seit mindestens 2022 aktiv beobachtet. Die aktuellen Angriffe zielen vor allem auf Regierungsbehörden ab, was auf eine strategische Ausrichtung des Akteurs hinweist. Die Verwendung von Discord als Kommunikationskanal ist besonders bemerkenswert, da diese Plattform normalerweise für soziale Interaktionen genutzt wird.

Die Forscher betonen, dass die Wahl dieser Plattform die Erkennung der Angriffe erschwert, da sie in der Regel nicht mit böswilligen Aktivitäten in Verbindung gebracht wird. Die Backdoors, die Webworm implementiert, sind speziell entwickelt, um sich in bestehende Systeme einzuschleusen und dort unbemerkt zu operieren. Die Nutzung der Microsoft Graph API ermöglicht es den Angreifern, auf eine Vielzahl von Microsoft-Diensten zuzugreifen, was die Reichweite und Effektivität ihrer Angriffe erhöht. Diese Technik könnte es Webworm ermöglichen, Daten zu exfiltrieren oder weitere Malware zu installieren. Die Sicherheitslage wird durch die Tatsache verschärft, dass Webworm bereits in der Vergangenheit erfolgreich Angriffe auf verschiedene Regierungsstellen durchgeführt hat.

Forscher haben festgestellt, dass die Gruppe über erhebliche technische Fähigkeiten verfügt, die es ihr ermöglichen, ihre Angriffe kontinuierlich zu verfeinern. Die Bedrohung durch Webworm wird als hoch eingestuft, insbesondere in Anbetracht der geopolitischen Spannungen. Ein weiterer Aspekt der Angriffe ist die Verwendung von Social Engineering-Techniken, um Benutzer dazu zu bringen, bösartige Links zu klicken oder schadhafte Software herunterzuladen. Diese Taktiken sind darauf ausgelegt, die Sicherheitsvorkehrungen der Zielorganisationen zu umgehen. Die Forscher warnen, dass solche Methoden in Kombination mit den technischen Fähigkeiten von Webworm zu einer ernsthaften Bedrohung für die nationale Sicherheit werden können.

Die Reaktion auf diese Bedrohung erfordert eine verstärkte Zusammenarbeit zwischen den Sicherheitsbehörden und den betroffenen Organisationen. Experten empfehlen, dass Regierungsbehörden ihre Sicherheitsprotokolle überprüfen und aktualisieren, um sich besser gegen solche Angriffe zu wappnen. Die Implementierung von mehrschichtigen Sicherheitsmaßnahmen könnte helfen, die Risiken zu minimieren. Die Entdeckung dieser neuen Angriffe hat auch die Diskussion über die Notwendigkeit von Schulungen für Mitarbeiter in Regierungsbehörden neu entfacht. Sensibilisierungstrainings könnten dazu beitragen, die Wahrscheinlichkeit zu verringern, dass Mitarbeiter auf Social Engineering-Angriffe hereinfallen.

Forscher betonen, dass die menschliche Komponente oft die schwächste Stelle in der Sicherheitsarchitektur darstellt. Die Aktivitäten von Webworm sind Teil eines größeren Trends, bei dem staatlich unterstützte Akteure zunehmend moderne Kommunikationsmittel nutzen, um ihre Ziele zu erreichen. Die Kombination aus technischer Raffinesse und psychologischen Manipulationstechniken stellt eine erhebliche Herausforderung für die Cybersicherheit dar. Die Forscher raten dazu, die Entwicklungen in diesem Bereich genau zu beobachten. Die Sicherheitslücke, die durch die Aktivitäten von Webworm ausgenutzt wird, könnte weitreichende Folgen haben.

Die Forscher schätzen, dass die Angriffe potenziell Tausende von Systemen weltweit betreffen könnten. Die genaue Anzahl der betroffenen Systeme wird derzeit ermittelt, da die Ermittlungen noch im Gange sind. Die Bedrohung durch Webworm verdeutlicht die Notwendigkeit, proaktive Maßnahmen zur Cybersicherheit zu ergreifen. Die Forscher empfehlen, dass Organisationen regelmäßig ihre Sicherheitsinfrastruktur überprüfen und anpassen, um neuen Bedrohungen entgegenzuwirken.

kontinuierliche Überwachung und Analyse von Cyberbedrohungen bleibt entscheidend, um rechtzeitig auf Angriffe reagieren zu können. Die Sicherheitsbehörden haben bereits begonnen, Informationen über die Aktivitäten von Webworm zu sammeln und auszuwerten. Ein Bericht über die neuesten Entwicklungen wird in den kommenden Wochen erwartet, um die Öffentlichkeit und betroffene Organisationen über die Risiken zu informieren. Die Forscher betonen, dass die Zusammenarbeit zwischen verschiedenen Akteuren in der Cybersicherheitslandschaft unerlässlich ist, um die Bedrohung durch Webworm effektiv zu bekämpfen.