Você está visualizando atualmente Hackers Estão Cada Vez Mais Abusando da API Microsoft Graph para Comunicações de Malware Furtivas

Hackers Estão Cada Vez Mais Abusando da API Microsoft Graph para Comunicações de Malware Furtivas

Os atores de ameaças têm usado cada vez mais o Microsoft Graph API para propósitos maliciosos com o objetivo de evadir a detecção. Isso é feito para “facilitar comunicações com infraestrutura de comando e controle (C&C) hospedada em serviços de nuvem da Microsoft”, afirmou a Equipe de Caçadores de Ameaças da Symantec, parte da Broadcom, em um relatório compartilhado com o The Hacker News.

Desde janeiro de 2022, vários grupos de hackers alinhados com estados-nação têm sido observados usando o Microsoft Graph API para C&C. Isso inclui atores de ameaças rastreados como APT28, REF2924, Red Stinger, Flea, APT29 e OilRig.

O primeiro caso conhecido de abuso do Microsoft Graph API antes de sua adoção mais ampla remonta a junho de 2021, em conexão com um cluster de atividades chamado Harvester, que foi encontrado usando um implante personalizado conhecido como Graphon para se comunicar com a infraestrutura da Microsoft.

A Symantec afirmou que recentemente detectou o uso da mesma técnica contra uma organização não identificada na Ucrânia, o que envolveu o uso de um malware anteriormente não documentado chamado BirdyClient (também conhecido como OneDriveBirdyClient).

Um arquivo DLL com o nome “vxdiff.dll”, que é o mesmo que um DLL legítimo associado a um aplicativo chamado Apoint (“apoint.exe”), foi projetado para se conectar ao Microsoft Graph API e usar o OneDrive como servidor C&C para fazer upload e download de arquivos dele.

O método exato de distribuição do arquivo DLL, e se envolve o carregamento lateral de DLL, é atualmente desconhecido. Também não há clareza sobre quem são os atores de ameaças ou quais são seus objetivos finais.

“As comunicações de atacantes com servidores C&C podem frequentemente levantar bandeiras vermelhas em organizações-alvo”, disse a Symantec. “A popularidade do Graph API entre os atacantes pode ser motivada pela crença de que o tráfego para entidades conhecidas, como serviços de nuvem amplamente utilizados, é menos propenso a levantar suspeitas.

“Além de parecerem inconspícuos, também é uma fonte barata e segura de infraestrutura para atacantes, uma vez que contas básicas para serviços como o OneDrive são gratuitas”.

O desenvolvimento ocorre à medida que o Permiso revelou como comandos de administração em nuvem poderiam ser explorados por adversários com acesso privilegiado para executar comandos em máquinas virtuais. “Na maioria das vezes, atacantes alavancam relacionamentos confiáveis para executar comandos em instâncias de computação conectadas (VMs) ou ambientes híbridos comprometendo fornecedores externos terceirizados ou contratados que têm acesso privilegiado para gerenciar ambientes baseados em nuvem internos”, afirmou a empresa de segurança em nuvem.

“Ao comprometer essas entidades externas, atacantes podem obter acesso elevado que lhes permite executar comandos dentro de instâncias de computação (VMs) ou ambientes híbridos”.