GraphWorm là một mối đe dọa mạng mới cho thấy cách nhóm Webworm tiếp tục thay đổi kỹ thuật để ẩn mình. Thay vì dùng máy chủ điều khiển truyền thống, GraphWorm sử dụng Microsoft OneDrive làm kênh command-and-control, khiến lưu lượng trông giống hoạt động cloud hợp lệ trong bối cảnh tin tức an ninh mạng gần đây.
GraphWorm Và Kênh Điều Khiển Qua OneDrive
GraphWorm là một backdoor viết bằng Go, còn được gọi nội bộ là OverOneDrive. Mẫu này giao tiếp độc quyền thông qua Microsoft Graph API để tương tác với OneDrive.
Điểm đáng chú ý của GraphWorm là cách nó tránh các máy chủ đáng ngờ. Thay vì tạo lưu lượng tới hạ tầng điều khiển riêng, nó ẩn hoạt động trong một nền tảng cloud phổ biến. Cách tiếp cận này làm giảm khả năng bị phát hiện bởi nhiều công cụ giám sát lưu lượng truyền thống.
Tài liệu phân tích kỹ thuật gốc có thể tham khảo tại Microsoft Security Blog và báo cáo gốc được chia sẻ công khai.
Cơ Chế Hoạt Động Của GraphWorm
Khi thực thi lần đầu, GraphWorm tạo một định danh nạn nhân duy nhất bằng cách kết hợp thông tin network adapter, processor và device serial number.
Sau đó, mã độc tạo hoặc đổi tên một thư mục OneDrive theo ID này để mỗi máy bị xâm nhập có một workspace riêng trong cloud. Mỗi nạn nhân có các thư mục con phục vụ ba chức năng:
- Lưu trữ file.
- Nhận lệnh công việc.
- Gửi kết quả từ các lệnh đã chạy trên máy bị nhiễm.
GraphWorm cũng hỗ trợ tải lên, tải xuống file, thực thi lệnh shell qua cmd.exe và điều chỉnh khoảng thời gian ngủ giữa các lần liên lạc.
Kết quả lệnh được ghi vào file beaconshelloutput.txt, sau đó được tải ngược lên OneDrive bằng endpoint createUploadSession của Microsoft.
Kỹ Thuật Xâm Nhập Ban Đầu Trong Cảnh Báo CVE
Chuỗi xâm nhập ban đầu của Webworm cho thấy nhóm này chủ động săn lùng các ứng dụng web lộ diện ra Internet. Trong các chiến dịch được quan sát, họ dùng công cụ mã nguồn mở như Nuclei và dirsearch để rà quét mục tiêu ở nhiều khu vực khác nhau.
Nhóm cũng được ghi nhận sử dụng một script khai thác một lỗi remote code execution sau xác thực trong SquirrelMail. Điều này cho thấy họ tận dụng lỗ hổng CVE hoặc các lỗi tương tự trên hệ thống web đã triển khai sai cấu hình hoặc chưa vá lỗi.
Trong ngữ cảnh cảnh báo CVE, các hệ thống chạy ứng dụng web công khai cần được kiểm tra định kỳ để giảm nguy cơ bảo mật từ các dịch vụ lộ cổng.
Các Công Cụ Và Kỹ Thuật Đã Ghi Nhận
- Nuclei: Công cụ quét lỗ hổng.
- dirsearch: Công cụ quét đường dẫn web.
- Script khai thác RCE: Nhắm vào lỗi sau xác thực trong SquirrelMail.
Hạ Tầng Proxy Và Che Giấu Lưu Lượng
Ngoài hai backdoor mới, Webworm còn xây dựng một mạng proxy nhiều lớp bằng cách kết hợp công cụ mã nguồn mở và công cụ tùy biến. Mục tiêu là tạo thêm lớp trung gian giữa kẻ tấn công và nạn nhân, làm việc truy vết khó hơn.
Các công cụ được nhắc tới gồm Wormsrp, ChainWorm, SmuxProxy và WormSocket. Trong đó:
- Wormsrp: Bản fork tùy biến từ frp.
- ChainWorm: Nối nhiều hop proxy.
- SmuxProxy: Dựa trên công cụ chuyển tiếp cổng iox.
- WormSocket: Chuyển hướng lưu lượng qua websocket.
Nhóm này cũng dùng một bucket Amazon S3 bị chiếm quyền để lưu và lấy các file cấu hình cho một số công cụ proxy. Các file được phát hiện trong bucket gồm snapshot máy ảo chứa dữ liệu cấu hình từ một thực thể chính phủ ở Ý và tài liệu bị trích xuất từ một cơ quan chính phủ ở Tây Ban Nha.
Ảnh Hưởng Hệ Thống Và Hoạt Động Sau Xâm Nhập
GraphWorm cho phép tải xuống và tải lên dữ liệu, thực thi lệnh hệ thống và duy trì liên lạc theo cách có độ ẩn cao. Vì toàn bộ luồng điều khiển đi qua Microsoft OneDrive, nhiều dấu hiệu truyền thống của hệ thống bị xâm nhập có thể bị che mờ bởi lưu lượng cloud hợp lệ.
Mô hình này đặc biệt phù hợp cho các môi trường có kiểm soát mạng dựa trên tên miền và giao thức, vì các kết nối tới cloud thường ít bị chặn hơn so với hạ tầng C2 chuyên dụng.
Về mặt tác động, rủi ro an toàn thông tin nằm ở khả năng duy trì truy cập lâu dài, di chuyển file qua cloud và thực thi lệnh mà không tạo ra cảnh báo rõ rệt.
IOC Cần Theo Dõi
Các dấu hiệu dưới đây được rút ra từ nội dung gốc. Một số tên miền/IP có thể đã được làm mờ trong báo cáo gốc và cần được xử lý trong nền tảng threat intelligence nội bộ trước khi đối chiếu.
- GraphWorm
- OverOneDrive
- Choreerp
- Wormsrp
- ChainWorm
- SmuxProxy
- WormSocket
- beaconshelloutput.txt
- wamanharipethe.s3.ap-south-1.amazonaws.com
- Microsoft Graph API
- OneDrive folder per victim
- cmd.exe
- powershell.exe
Hành Vi Kỹ Thuật Cần Giám Sát
Đối với phát hiện xâm nhập, nhóm bảo mật cần theo dõi các dấu hiệu sau trong log hệ thống và telemetry mạng:
- Kết nối bất thường tới cloud storage services.
- Tiến trình gọi cmd.exe hoặc powershell.exe để tải file từ nguồn bên ngoài.
- Thay đổi scheduled tasks và registry run keys không hợp lệ.
- File đầu ra beaconshelloutput.txt xuất hiện rồi được upload lên cloud.
- Một thư mục OneDrive riêng cho từng máy nạn nhân.
Vì GraphWorm vận hành trong môi trường cloud hợp lệ, các giải pháp giám sát cần kết hợp log endpoint, proxy và cloud audit để tăng khả năng phát hiện tấn công.
Lệnh Và Dấu Vết CLI Liên Quan
Trong phân tích này, các lệnh CLI đáng chú ý là:
- cmd.exe để thực thi lệnh shell.
- powershell.exe để tải file từ nguồn ngoài.
- createUploadSession của Microsoft để đẩy dữ liệu lên OneDrive.
Nếu cần đối chiếu thêm thông tin về lỗ hổng CVE trong ứng dụng web bị khai thác, có thể tra cứu trên NVD để xác minh mức độ ảnh hưởng và trạng thái bản vá.
Điểm Chính Về Kỹ Thuật
GraphWorm không dựa vào máy chủ C2 truyền thống mà lợi dụng Microsoft OneDrive và Microsoft Graph API để ẩn lưu lượng điều khiển. Kết hợp với proxy đa lớp, bucket S3 bị chiếm quyền và kỹ thuật quét lỗ hổng bằng Nuclei, dirsearch, đây là một chuỗi hoạt động cho thấy mức độ tinh chỉnh cao trong tin bảo mật mới nhất.
Trong môi trường có lỗ hổng CVE hoặc ứng dụng web chưa vá lỗi, các dấu vết như cmd.exe, powershell.exe, thư mục OneDrive theo từng nạn nhân và file beaconshelloutput.txt là những tín hiệu cần được ưu tiên đưa vào quy trình phát hiện xâm nhập.
