Участники угроз все чаще используют Microsoft Graph API в злонамеренных целях с целью уклонения от обнаружения.
Это делается для "облегчения связи с инфраструктурой командования и контроля (C & C), размещенной в облачных сервисах Microsoft Cloud Services", - говорится в отчете Symantec Threat Hunter, входящей в состав Broadcom, которым поделилась The Hacker News.
С января 2022 года было замечено, что несколько хакерских групп, связанных с национальными государствами, используют Microsoft Graph API для C & C. Сюда входят такие субъекты угроз, как APT28, REF2924, Red Stinger, Flea, APT29 и OilRig.
Первый известный экземпляр Microsoft Graph API до его более широкого внедрения датируется июнем 2021 года в связи с кластером активности, получившим название Harvester, который был обнаружен с использованием пользовательского имплантата, известного как Graphon, который использовал API для связи с инфраструктурой Microsoft.
Symantec заявила, что недавно обнаружила использование той же техники против неназванной организации в Украине, которая включала развертывание ранее недокументированного вредоносного ПО под названием BirdyClient (он же OneDriveBirdyClient).
Файл DLL с именем "vxdiff.dll", который совпадает с законной библиотекой DLL, связанной с приложением под названием Apoint ("apoint.exe"), он предназначен для подключения к Microsoft Graph API и использования OneDrive в качестве C & C-сервера для загрузки с него файлов.
Точный метод распространения файла DLL, и влечет ли это за собой загрузку DLL на стороне, в настоящее время неизвестен. Также нет ясности в отношении того, кто является исполнителями угрозы или каковы их конечные цели.
"Взаимодействие злоумышленников с серверами C & C часто может вызывать тревогу в целевых организациях", - заявили в Symantec. "Популярность Graph API среди злоумышленников может быть обусловлена убежденностью в том, что трафик к известным объектам, таким как широко используемые облачные сервисы, с меньшей вероятностью вызовет подозрения.
"Помимо того, что он кажется незаметным, это также дешевый и безопасный источник инфраструктуры для злоумышленников, поскольку базовые учетные записи для таких сервисов, как OneDrive, бесплатны".
Разработка началась после того, как Permiso раскрыла, как команды администрирования облака могут быть использованы злоумышленниками с привилегированным доступом для выполнения команд на виртуальных машинах.
"В большинстве случаев злоумышленники используют доверительные отношения для выполнения команд в подключенных вычислительных инстансах (виртуальных машинах) или гибридных средах, компрометируя сторонних внешних поставщиков или подрядчиков, которые имеют привилегированный доступ для управления внутренними облачными средами", - говорится в сообщении компании Cloud Security.
"Компрометируя эти внешние объекты, злоумышленники могут получить расширенный доступ, который позволяет им выполнять команды в вычислительных инстансах (виртуальных машинах) или гибридных средах".
Это делается для "облегчения связи с инфраструктурой командования и контроля (C & C), размещенной в облачных сервисах Microsoft Cloud Services", - говорится в отчете Symantec Threat Hunter, входящей в состав Broadcom, которым поделилась The Hacker News.
С января 2022 года было замечено, что несколько хакерских групп, связанных с национальными государствами, используют Microsoft Graph API для C & C. Сюда входят такие субъекты угроз, как APT28, REF2924, Red Stinger, Flea, APT29 и OilRig.
Первый известный экземпляр Microsoft Graph API до его более широкого внедрения датируется июнем 2021 года в связи с кластером активности, получившим название Harvester, который был обнаружен с использованием пользовательского имплантата, известного как Graphon, который использовал API для связи с инфраструктурой Microsoft.
Symantec заявила, что недавно обнаружила использование той же техники против неназванной организации в Украине, которая включала развертывание ранее недокументированного вредоносного ПО под названием BirdyClient (он же OneDriveBirdyClient).
Файл DLL с именем "vxdiff.dll", который совпадает с законной библиотекой DLL, связанной с приложением под названием Apoint ("apoint.exe"), он предназначен для подключения к Microsoft Graph API и использования OneDrive в качестве C & C-сервера для загрузки с него файлов.
Точный метод распространения файла DLL, и влечет ли это за собой загрузку DLL на стороне, в настоящее время неизвестен. Также нет ясности в отношении того, кто является исполнителями угрозы или каковы их конечные цели.
"Взаимодействие злоумышленников с серверами C & C часто может вызывать тревогу в целевых организациях", - заявили в Symantec. "Популярность Graph API среди злоумышленников может быть обусловлена убежденностью в том, что трафик к известным объектам, таким как широко используемые облачные сервисы, с меньшей вероятностью вызовет подозрения.
"Помимо того, что он кажется незаметным, это также дешевый и безопасный источник инфраструктуры для злоумышленников, поскольку базовые учетные записи для таких сервисов, как OneDrive, бесплатны".
Разработка началась после того, как Permiso раскрыла, как команды администрирования облака могут быть использованы злоумышленниками с привилегированным доступом для выполнения команд на виртуальных машинах.
"В большинстве случаев злоумышленники используют доверительные отношения для выполнения команд в подключенных вычислительных инстансах (виртуальных машинах) или гибридных средах, компрометируя сторонних внешних поставщиков или подрядчиков, которые имеют привилегированный доступ для управления внутренними облачными средами", - говорится в сообщении компании Cloud Security.
"Компрометируя эти внешние объекты, злоумышленники могут получить расширенный доступ, который позволяет им выполнять команды в вычислительных инстансах (виртуальных машинах) или гибридных средах".
