Agentes de ameaças têm aumentado o uso malicioso da Microsoft Graph API com o objetivo de evadir detecção.
Isso é feito para "facilitar comunicações com infra-estrutura de comando e controle (C&C) hospedada em serviços na nuvem da Microsoft", afirmou a equipe Symantec Threat Hunter, parte da Broadcom, em um relatório compartilhado com The Hacker News.
Desde janeiro de 2022, vários grupos de hackers alinhados com nações foram observados usando a Microsoft Graph API para C&C.
Isso inclui agentes de ameaças rastreados como APT28, REF2924, Red Stinger, Flea, APT29 e OilRig.
A primeira instância conhecida de abuso da Microsoft Graph API antes de sua adoção mais ampla remonta a junho de 2021, em conexão com um cluster de atividades apelidado de Harvester, que foi encontrado usando um implante personalizado conhecido como Graphon, que utilizava a API para se comunicar com a infraestrutura da Microsoft.
A Symantec disse que detectou recentemente o uso da mesma técnica contra uma organização não nomeada na Ucrânia, o que envolveu a implantação de um malware anteriormente não documentado chamado BirdyClient (aka OneDriveBirdyClient).
Um arquivo DLL com o nome "vxdiff.dll", que é o mesmo de uma DLL legítima associada a uma aplicação chamada Apoint ("apoint.exe"), é projetado para se conectar à Microsoft Graph API e usar o OneDrive como um servidor C&C para enviar e receber arquivos dele.
O método exato de distribuição do arquivo DLL, e se isso envolve side-loading de DLL, é atualmente desconhecido.
Também não há clareza sobre quem são os agentes de ameaça ou quais são seus objetivos finais.
"Comunicações do atacante com servidores C&C podem frequentemente levantar bandeiras vermelhas em organizações alvo", disse a Symantec.
A popularidade da Graph API entre os atacantes pode ser impulsionada pela crença de que o tráfego para entidades conhecidas, como serviços na nuvem amplamente usados, é menos provável de levantar suspeitas.
Além de parecer inconspícuo, também é uma fonte de infraestrutura barata e segura para os atacantes, uma vez que contas básicas para serviços como o OneDrive são gratuitas.
O desenvolvimento surge à medida que a Permiso revelou como comandos de administração na nuvem poderiam ser explorados por adversários com acesso privilegiado para executar comandos em máquinas virtuais.
"Na maioria das vezes, atacantes aproveitam relações de confiança para executar comandos em instâncias de computação conectadas (VMs) ou ambientes híbridos comprometendo fornecedores externos ou contratados terceirizados que têm acesso privilegiado para gerenciar ambientes baseados na nuvem internamente", disse a firma de segurança na nuvem.
Comprometendo essas entidades externas, atacantes podem ganhar acesso elevado que lhes permite executar comandos dentro de instâncias de computação (VMs) ou ambientes híbridos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...