Почему атаки через обычные сервисы сложнее заметить?

Потому что трафик выглядит легитимно: запросы идут через популярные платформы и облачные API. Фильтры и правила безопасности часто ждут явно вредоносный файл или подозрительный домен, а здесь злоумышленник прячется в обычном рабочем потоке.

Что сильнее всего снижает риск таких атак?

Базовая гигиена: обновления, 2FA, контроль прав доступа, ограничение токенов и внимательная проверка входов. Для компаний важны ещё мониторинг журналов, сегментация сети и отдельный контроль веб-серверов.

Нужно ли обычному пользователю разбираться в C2 и API?

Нет, но полезно понимать сам принцип: злоумышленники могут использовать обычные сервисы как канал управления. Поэтому важно следить за безопасностью аккаунтов, не ставить лишние расширения и не игнорировать странную активность в почте и облаке.

Webworm спрятал бэкдоры в Discord и Microsoft Graph API

Webworm сменил тактику и спрятал вредоносный трафик в сервисах

Группа Webworm добавила новые бэкдоры, которые маскируют команды под обычный трафик в Discord и Microsoft Graph API, и расширила арсенал для скрытых атак.

21 мая 2026 г. 4 мин чтения 33 просмотра 1 читает сейчас

Webworm сменил тактику и спрятал вредоносный трафик в сервисах

На рабочем ноутбуке сотрудника открываются обычные окна: мессенджер, почта, корпоративный портал. Но в фоновом режиме машина уже принимает команды из стороннего сервиса, а отдельные файлы утекают наружу через привычные облачные интерфейсы. Именно так, по данным исследователей, действовал Webworm, когда добавил в набор инструменты EchoCreep и GraphWorm.

История инцидента

Исследователи из ESET сообщили о новой активности группы Webworm, которую связывают с интересами Китая. По их оценке, она действует как минимум с 2022 года и бьёт по госструктурам и компаниям в России, Грузии, Монголии и ряде стран Азии.

В 2025 году группа добавила два новых бэкдора — EchoCreep и GraphWorm. Первый использует Discord как канал управления, второй — Microsoft Graph API, чтобы передавать команды и получать ответы менее заметным способом.

Webworm, судя по отчёту, постепенно уходит от старых инструментов вроде Trochilus RAT и 9002 RAT и делает ставку на более тихие связки: прокси, собственные утилиты и сервисы, которые выглядят как обычная часть инфраструктуры. В качестве прикрытия исследователи нашли и репозиторий на GitHub, замаскированный под форк WordPress, где вредоносный код прятали вместе с вспомогательными инструментами.

Что пошло не так в защите

Главная проблема здесь не в одном конкретном сервисе, а в модели атаки. Злоумышленники используют популярные платформы и облачные интерфейсы как транспорт для команд, и обычные фильтры трафика видят в этом легитимную активность.

EchoCreep умеет загружать и выгружать файлы, а также запускать команды через cmd.exe. GraphWorm идёт дальше: он запускает новый процесс, работает с файлами в OneDrive и может сам завершить работу по сигналу оператора.

Для первого захода в систему Webworm, по данным исследователей, применяет открытые утилиты вроде dirsearch и nuclei — ищет уязвимые директории и файлы на веб-серверах. Это не «магия», а рутинная разведка. Если серверы и веб-приложения плохо закрыты, злоумышленнику остаётся только подобрать слабое место.

Похожая логика уже всплывала в других разборках. В материале о срочном обновлении Drupal речь шла о том, как одна дыра быстро превращается в точку входа для атаки. А история про забытый токен в Grafana показала, что защита часто ломается не на сложной криптографии, а на банальной небрежности.

Уроки для читателя

Этот кейс хорошо объясняет, почему компаниям мало смотреть только на антивирус и парольную политику. Атака давно живёт не только в вредоносных файлах, но и в злоупотреблении нормальными сервисами, облаками и API.

Для обычного пользователя вывод тоже прямой: если ваш аккаунт внезапно ведёт себя странно, а в логах появляются непонятные входы, проблема может быть не в «сломавшемся приложении», а в компрометации устройства или учётных данных. Отдельно стоит следить за расширениями браузера, сохранёнными токенами и доступом к облачным папкам.

Для удалённой работы и поездок полезно заранее подготовить устройство и не тащить в поездку лишние риски. Если вы подключаетесь к корпоративным сервисам вне офиса, пригодится инструмент для защищённого подключения в дороге как один из элементов общей схемы защиты, но только вместе с актуальными обновлениями, 2FA и контролем прав доступа.

Практические выводы и чек-лист

Проверьте, включена ли двухфакторная аутентификация в почте, облаке и рабочих сервисах.
Обновите браузер, операционную систему и офисные приложения, особенно если вы используете их для работы с документами из интернета.
Посмотрите, какие приложения и расширения имеют доступ к вашим аккаунтам, и уберите лишние.
Ограничьте права на общие папки и облачные хранилища: доступ должен быть только у тех, кому он нужен.
Настройте контроль входов и уведомления о подозрительной активности в почте и корпоративных сервисах.
Проверьте серверы и веб-приложения на наличие открытых директорий, старых панелей и забытых тестовых файлов.
Если вы часто работаете вне офиса, держите под рукой защиту для поездок и удалённой работы как часть базового набора, а не как замену другим мерам.
Не открывайте вложения и ссылки из неожиданных писем, даже если они выглядят как внутреннее письмо коллеги.

В этом кейсе Webworm показал старую, но эффективную логику: меньше шума, больше маскировки под нормальный трафик. Для защиты это означает одно — смотреть надо не только на «вредоносные файлы», но и на поведение сервисов, учётных записей и серверов.