Hackare använder alltmer Microsoft Graph API för skadlig programvara

 

Hackare använder alltmer Microsoft Graph API för skadlig programvara

Hotaktörer har i allt större utsträckning beväpnat sig med Microsoft Graph API för skadliga syften i syfte för att undvika upptäckt.

Detta görs för att "underlätta kommunikation med kommandon och kontroll (C&C) infrastruktur som är värd på Microsofts molntjänster", säger Symantec Threat Hunter Team, en del av Broadcom, i en rapport som delas med The Hacker News.

Sedan januari 2022 har flera nationalstatsanpassade hackningsgrupper observerats med hjälp av Microsoft Graph API för C&C. Detta inkluderar hotaktörer spårade som APT28, REF2924, Red Stinger, Flea, APT29 och OilRig.

Den första kända instansen av Microsoft Graph API innan dess bredare antagande går tillbaka till juni 2021 i samband med ett aktivitetskluster kallat Harvester som hittades med ett anpassat implantat känt som Graphon som använde API för att kommunicera med Microsofts infrastruktur.

Symantec säger att det nyligen upptäckte användningen av samma teknik mot en icke namngiven organisation i Ukraina, som involverade utplaceringen av en tidigare odokumenterad skadlig programvara som heter BirdyClient (aka OneDriveBirdyClient).

En DLL-fil med namnet "vxdiff.dll", vilket är samma som en legitim DLL associerad med en applikation som heter Apoint ("apoint.exe"), den är utformad för att ansluta till Microsoft Graph API och använda OneDrive som en C&C-server för att ladda upp och ladda ner filer från den.

Den exakta distributionsmetoden för DLL filen och om den innebär sidladdning av DLL, är för närvarande okänd. Det finns inte heller någon klarhet i vilka hotaktörerna är eller vilka deras slutliga mål är.

"Angripares kommunikation med C&C servrar kan ofta lyfta röda flaggor i riktade organisationer", säger Symantec. "Graph API:s popularitet bland angripare kan drivas av tron att trafik till kända enheter, som ofta använda molntjänster, är mindre benägna att väcka misstankar.

"Förutom att det verkar oansenligt är det också en billig och säker källa till infrastruktur för angripare eftersom grundläggande konton för tjänster som OneDrive är gratis."

Utvecklingen kommer när Permiso avslöjade hur cloud administration commands kunde utnyttjas av motståndare med privilegierad åtkomst för att utföra kommandon på virtuella maskiner.

"De flesta gånger utnyttjar angripare pålitliga relationer för att utföra kommandon i anslutna datorinstanser (VM) eller hybridmiljöer genom att äventyra externa externa leverantörer eller entreprenörer som har privilegierad tillgång att hantera interna molnbaserade miljöer," säger molnsäkerhetsföretaget.

"Genom att kompromissa med dessa externa enheter kan angripare få förhöjd åtkomst som gör att de kan utföra kommandon inom datorinstanser (VM) eller hybridmiljöer."