Tehdit aktörleri giderek daha fazla silahlanıyor Microsoft Grafik API’si tespit edilmekten kaçınmak amacıyla kötü niyetli amaçlarla.
Bu, Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi tarafından “Microsoft bulut hizmetlerinde barındırılan komuta ve kontrol (C&C) altyapısıyla iletişimi kolaylaştırmak” için yapılıyor. söz konusu The Hacker News ile paylaşılan bir raporda.
Ocak 2022’den bu yana, C&C için Microsoft Graph API’yi kullanan çok sayıda ulus-devlet uyumlu bilgisayar korsanlığı grubu gözlemlendi. Buna APT28, REF2924, Red Stinger, Flea, APT29 ve OilRig olarak takip edilen tehdit aktörleri de dahildir.
Microsoft Graph API’nin daha geniş çapta benimsenmeden önce bilinen ilk örneği, Microsoft altyapısıyla iletişim kurmak için API’yi kullanan Graphon olarak bilinen özel bir implant kullanılarak bulunan Harvester adlı bir etkinlik kümesiyle bağlantılı olarak Haziran 2021’e kadar uzanıyor.
Symantec, yakın zamanda aynı tekniğin Ukrayna’daki isimsiz bir kuruluşa karşı kullanıldığını tespit ettiğini söyledi; bu, BirdyClient (diğer adıyla OneDriveBirdyClient) adı verilen daha önce belgelenmemiş bir kötü amaçlı yazılım parçasının konuşlandırılmasını içeriyordu.
Apoint (“apoint.exe”) adı verilen bir uygulamayla ilişkili meşru DLL ile aynı olan “vxdiff.dll” adlı bir DLL dosyası, Microsoft Graph API’sine bağlanmak ve OneDrive’ı bir C&C sunucusu olarak kullanmak için tasarlanmıştır. buradan dosya yüklemek ve indirmek için.
DLL dosyasının tam dağıtım yöntemi ve DLL tarafından yüklemeyi gerektirip gerektirmediği şu anda bilinmiyor. Tehdit aktörlerinin kim olduğu ve nihai amaçlarının ne olduğu konusunda da netlik bulunmuyor.
Symantec, “Saldırganın C&C sunucularıyla iletişimi, hedeflenen kuruluşlarda genellikle kırmızı bayraklara neden olabilir” dedi. “Graph API’nin saldırganlar arasındaki popülaritesi, yaygın olarak kullanılan bulut hizmetleri gibi bilinen varlıklara yönelik trafiğin şüphe uyandırma ihtimalinin daha düşük olduğu inancından kaynaklanıyor olabilir.
“Göze çarpmayan görünmesinin yanı sıra, OneDrive gibi hizmetlerin temel hesapları ücretsiz olduğundan saldırganlar için ucuz ve güvenli bir altyapı kaynağıdır.”
Gelişme, Permiso’nun nasıl olduğunu açıklamasıyla birlikte geliyor bulut yönetimi komutları ayrıcalıklı erişime sahip rakipler tarafından sanal makinelerde komut yürütmek için kullanılabilir.
“Çoğu zaman saldırganlar güvenilir ilişkiler Bulut güvenlik firması, “dahili bulut tabanlı ortamları yönetmek için ayrıcalıklı erişime sahip üçüncü taraf harici satıcılar veya yüklenicilerden ödün vererek bağlantılı bilgi işlem örneklerinde (VM’ler) veya hibrit ortamlarda komutları yürütmek” dedi.
“Saldırganlar, bu harici varlıkların güvenliğini ihlal ederek, bilgi işlem örnekleri (VM’ler) veya hibrit ortamlarda komutları yürütmelerine olanak tanıyan yükseltilmiş erişim elde edebilir.”