Các tác nhân đe dọa ngày càng vũ khí hóa API Microsoft Graph cho các mục đích độc hại với mục đích tránh bị phát hiện.
Điều này được thực hiện để "tạo điều kiện liên lạc với cơ sở hạ tầng chỉ huy và kiểm soát (C &C) được lưu trữ trên các dịch vụ đám mây của Microsoft", Nhóm Symantec Threat Hunter, một phần của Broadcom, cho biết trong một báo cáo được chia sẻ với The Hacker News.
Kể từ tháng 1 năm 2022, nhiều nhóm hack liên kết với quốc gia đã được quan sát thấy bằng cách sử dụng API Microsoft Graph cho C&C. Điều này bao gồm các tác nhân đe dọa được theo dõi như APT28, REF2924, Red Stinger, Flea, APT29 và OilRig.
Phiên bản đầu tiên được biết đến của API Microsoft Graph trước khi được áp dụng rộng rãi hơn đã có từ tháng 6 năm 2021 liên quan đến một cụm hoạt động có tên là Harvester được tìm thấy bằng cách sử dụng bộ cấy tùy chỉnh được gọi là Graphon sử dụng API để giao tiếp với cơ sở hạ tầng của Microsoft.
Symantec cho biết gần đây họ đã phát hiện việc sử dụng kỹ thuật tương tự chống lại một tổ chức giấu tên ở Ukraine, liên quan đến việc triển khai một phần mềm độc hại không có giấy tờ trước đây có tên BirdyClient (hay còn gọi là OneDriveBirdyClient).
Tệp DLL có tên "vxdiff.dll", giống như DLL hợp pháp được liên kết với ứng dụng có tên Apoint ("apoint.exe"), tệp này được thiết kế để kết nối với API Microsoft Graph và sử dụng OneDrive làm máy chủ C&C để tải lên và tải xuống tệp từ đó.
Phương pháp phân phối chính xác của tệp DLL, và nếu nó đòi hỏi tải bên DLL, hiện vẫn chưa được biết. Cũng không có sự rõ ràng về các tác nhân đe dọa là ai hoặc mục tiêu cuối cùng của họ là gì.
"Thông tin liên lạc của kẻ tấn công với các máy chủ C&C thường có thể giương cờ đỏ trong các tổ chức được nhắm mục tiêu", Symantec nói. "Sự phổ biến của API Đồ thị đối với những kẻ tấn công có thể được thúc đẩy bởi niềm tin rằng lưu lượng truy cập đến các thực thể đã biết, chẳng hạn như các dịch vụ đám mây được sử dụng rộng rãi, ít có khả năng gây nghi ngờ.
"Ngoài việc xuất hiện kín đáo, nó cũng là một nguồn cơ sở hạ tầng rẻ và an toàn cho những kẻ tấn công vì các tài khoản cơ bản cho các dịch vụ như OneDrive là miễn phí."
Sự phát triển này diễn ra khi Permiso tiết lộ cách các lệnh quản trị đám mây có thể bị khai thác bởi các đối thủ có quyền truy cập đặc quyền để thực thi các lệnh trên máy ảo.
"Hầu hết thời gian, kẻ tấn công tận dụng các mối quan hệ đáng tin cậy để thực thi các lệnh trong các phiên bản điện toán được kết nối (VM) hoặc môi trường lai bằng cách xâm phạm các nhà cung cấp hoặc nhà thầu bên ngoài bên thứ ba có quyền truy cập đặc quyền để quản lý môi trường dựa trên đám mây nội bộ", công ty bảo mật đám mây cho biết.
"Bằng cách xâm phạm các thực thể bên ngoài này, kẻ tấn công có thể có được quyền truy cập nâng cao cho phép chúng thực thi các lệnh trong các phiên bản điện toán (VM) hoặc môi trường lai."