Você está visualizando atualmente Hackers Estão Cada Vez Mais Abusando da API do Microsoft Graph para Comunicações de Malware Dissimuladas

Hackers Estão Cada Vez Mais Abusando da API do Microsoft Graph para Comunicações de Malware Dissimuladas

Atacantes têm tornado cada vez mais malicioso o uso da Microsoft Graph API com o objetivo de evitar detecção. Isso é feito para “facilitar comunicações com infraestruturas de comando e controle (C&C) hospedadas em serviços de nuvem da Microsoft”, disse a equipe Symantec Threat Hunter, parte da Broadcom, em um relatório compartilhado com The Hacker News.

Desde janeiro de 2022, vários grupos de hackers alinhados com estados-nação têm sido observados usando a Microsoft Graph API para C&C. Isso inclui atores ameaçadores rastreados como APT28, REF2924, Red Stinger, Flea, APT29 e OilRig.

A primeira instância conhecida do abuso da Microsoft Graph API antes de sua adoção mais ampla remonta a junho de 2021, em conexão com um cluster de atividades apelidado de Harvester, que foi encontrado utilizando um implante personalizado conhecido como Graphon, que utilizava a API para se comunicar com a infraestrutura da Microsoft.

Symantec disse que recentemente detectou o uso da mesma técnica contra uma organização não nomeada na Ucrânia, que envolveu o uso de um malware anteriormente não documentado chamado BirdyClient (também conhecido como OneDriveBirdyClient).

Um arquivo DLL com o nome “vxdiff.dll”, que é o mesmo que um DLL legítimo associado a um aplicativo chamado Apoint (“apoint.exe”), é projetado para se conectar à Microsoft Graph API e usar o OneDrive como servidor C&C para fazer upload e download de arquivos.

O método exato de distribuição do arquivo DLL e se ele envolve o carregamento lateral de DLL é desconhecido atualmente. Também não há clareza sobre quem são os atacantes ou quais são seus objetivos finais.

“As comunicações dos atacantes com os servidores C&C muitas vezes podem levantar bandeiras vermelhas nas organizações-alvo”, disse Symantec. “A popularidade da Graph API entre os atacantes pode ser impulsionada pela crença de que o tráfego para entidades conhecidas, como serviços de nuvem amplamente utilizados, é menos suspeito.

“Além de parecer inofensiva, também é uma fonte barata e segura de infraestrutura para atacantes, já que contas básicas para serviços como o OneDrive são gratuitas.”

O desenvolvimento ocorre quando Permiso revelou como comandos de administração em nuvem podem ser explorados por adversários com acesso privilegiado para executar comandos em máquinas virtuais.

“Muitas vezes, os atacantes aproveitam relações de confiança para executar comandos em instâncias de computação (VMs) conectadas ou ambientes híbridos comprometendo terceiros fornecedores externos ou empreiteiros que têm acesso privilegiado para gerenciar ambientes em nuvem internos”, disse a empresa de segurança em nuvem.

“Ao comprometer essas entidades externas, os atacantes podem obter acesso elevado que lhes permite executar comandos dentro de instâncias de computação (VMs) ou ambientes híbridos.”