JITA

中国系の攻撃グループが、MicrosoftのOneDriveをそのまま指令サーバー（C2）に悪用する新バックドア「GraphWorm」を投入したとの報告です。被害者ごとに専用フォルダを作り、3つのサブフォルダで指令の受け取り・実行結果の返送・ファイル保管を分担する設計。 感染端末がやり取りするのは公式クラウドへの通常のファイル操作に見えるため検知を逃れやすい背景です。 攻撃元は標的を長期間しつこく狙うAPT（高度標的型攻撃）グループ「Webworm」によるもの。 4月に紹介したOutlook受信トレイをC2に使うLinuxバックドアと同じ「正規クラウドをC2にする」系統で、別のグループでも同種の手口が観測された形です。 Discord、Outlook、OneDriveと、正規クラウドをC2に転用する手口が短期間に複数の攻撃グループで観測されています。 通信先が信頼されたサービスそのものになるため、宛先が正規かどうかだけでは見抜きにくい一例です。 【要点の整理】 ・出典：ESET（WeLiveSecurity、2026/5/20公開）。Webwormは2022年にSymantecが初めて報告した中国系APTで、当初はアジアを狙っていたが近年は欧州へ標的を移し、2025年はベルギー・イタリア・セルビア・ポーランドの政府機関を狙い、南アフリカの大学を侵害。 ・GraphWormの動作（検体名C2OverOneDrive）：初回起動時に、ネットワークアダプタのIPやCPUのID、機器のシリアル番号を組み合わせて端末ごとの固有IDを作り、それを名前にしたOneDriveフォルダを生成。やり取りするデータはAES（共通鍵暗号）で暗号化したうえでbase64というテキスト形式に変換し、大きなファイルはMicrosoftの公式API「Graph」の大容量アップロード機能で送り出したとみられる。 ・もう一つの新バックドアEchoCreep：チャットアプリのDiscordをC2に使うタイプ。ESETは復号した400件超のDiscordメッセージから、被害者ごとに分かれた4つのチャネルを特定。 ・侵入経路の探索：弱点を自動で探す脆弱性スキャナ「nuclei」と、隠れたページを総当たりで探す「dirsearch」で標的のWebサーバーを調査し（dirsearchは56の標的に対し実行）、Webメールソフト「SquirrelMail」のログイン後に外部から命令を実行できてしまう不具合（CVE-2017-7692）を突くコードをセルビアの標的に使った形跡。追跡をかわすため、高速中継ツールfrpを改造したWormFrpや通信を何段も中継するChainWormなど独自のプロキシを組み合わせて経路を隠す。 ・正規サービスの悪用：マルウェアの配布に、本物のWordPress配布元を複製（フォーク）したGitHubページを使い、設定や盗んだデータの保管には乗っ取った正規のクラウド保管サービス（Amazon S3）を利用。中にはイタリア政府機関のマシンの設定や状態を保存した仮想マシン（VM）のスナップショットや、スペイン政府から盗まれたファイルが含まれていたとされる。 詳細は以下を参照： https://t.co/UQ3tlumK8T

【M365テナントを契約してすぐにやったほうが良いこと】 ●独自ドメインの取得 onmicrosoft[.]comでメールやTeamsを使い始めてしまうと独自ドメインを使おうと思った時の移行が超大変。テナント作成直後に独自ドメインを取得すべき ●DMARKの設定 運用が広がった後に有効化すると、SaaS、業務システム、マーケツール、代理送信サービスなど「自社ドメインを名乗って送っている全送信元」を洗い出してSPF/DKIMを整える必要があり、調査範囲が一気に膨らむ。テナント作成直後にDMARKを導入すべき ●Teamsのチーム作成を制限 チームは利用者が自由に作れるため、放置すると不要なチャネルが乱立する。チームは管理者が作成する運用としチャネルを整理すべし ●外部共有・ゲストアクセスの厳格化 デフォルトのままだと、SharePoint/OneDrive/Teamsから想定以上に外部共有できてしまう。外部共有のツールが他にあるのであれば、M365の外部共有は原則行わない設定とすべし 他にもあれば引用ポストやリプライで教えてください