Ortaya çıkan bir tehdit, Microsoft bulut hizmetleri aracılığıyla komuta ve kontrol (C&C) iletişimini kolaylaştırmak için Microsoft’un Graph API’sinden yararlanıyor.
Yakın zamanda Symantec’teki güvenlik analistleri, BirdyClient veya OneDriveBirdyClient adında daha önce belgelenmemiş bir kötü amaçlı yazılım keşfetti.
Bu kötü amaçlı yazılım Ukrayna’daki bir kuruluşu hedef aldı. Dosyaları yüklemek ve indirmek için Graph API’ye bağlanarak C&C için Microsoft OneDrive’ı kötüye kullandı.
Kötü amaçlı yazılımın temel işlevi, yasal bir yazılım gibi görünse de, motivasyonu ve niteliği bilinmeyen tehdit aktörleri tarafından güvenilir bulut hizmetlerinden kötü amaçlarla yararlanan gelişen bir tekniği ortaya çıkarıyor.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Teknik Analiz
Komuta ve kontrol (C&C) iletişimleri, Microsoft bulut hizmetlerini entegre etmek için oluşturulan Microsoft Graph API’sinden yararlanan saldırganlar arasında giderek daha yaygın hale geliyor.
OneDrive gibi hizmetlere Graph API erişimi, BirdyClient, Bluelight (Vedalia/APT37 grubu), Backdoor.Graphon (Harvester grubu) ve Graphite (Swallowtail/APT28 grubu) gibi kötü amaçlı yazılım aileleri tarafından C&C amacıyla kullanılır.
Bu yeni yaklaşım, tehdit aktörlerinin kötü amaçlı iletişimlerini meşru bulut trafiğinde gizlemesine yardımcı olarak tespit edilmesini zorlaştırıyor.
Bulut entegrasyonu yeteneklerinin farklı amaçlarla kullanılmasıyla oluşturulan bilinmeyen C&C kanallarını kötüye kullanan gelişmiş kalıcı tehditler, güvenilir hizmetlerin kötüye kullanılmasıyla ilgili endişeleri artırıyor.
Microsoft’un Graph API’si, çeşitli tehdit grupları arasında komuta ve kontrolün (C&C) kötüye kullanılması açısından giderek daha popüler hale geldi.
OneDrive ve Microsoft 365 Mail, SiestaGraph tarafından bir ASEAN ülkesini hedeflemek için kullanıldı.
Eski kötü amaçlı yazılımların geliştirilmiş bir biçimi olan Backdoor.Graphican, Flea (APT15) grubu tarafından, Graph API ve OneDrive’ın C&C altyapı bileşenleri olarak hizmet verdiği dışişleri bakanlıklarına karşı yürütülen kampanyalarda kullanıldı.
GraphStrike bir sızma testi araç setidir; saldırganların meşru bulut entegrasyon yeteneklerini kötü amaçlı iletişim amacıyla nasıl kötüye kullandıklarını gösteren ve güvenilir hizmetler içinde saklanmalarına yardımcı olan birçok örnekten biridir.
Ancak bu teknik hakkında daha fazla bilgi diğer bilgisayar korsanlığı topluluklarına yayıldıkça, kimliği doğrulanmış API erişiminin daha önce hiç olmadığı kadar kötüye kullanılmasını beklemeliyiz, bu da herkes için yeni zorluklar yaratacaktır.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free.
Tehdit aktörleri, tespit edilmekten kaçınmak amacıyla, komut ve kontrol sunucuları için bir platform olarak Microsoft’un Graph API’sini kullanmaya başladı.
Bu, kötü amaçlı iletişimlerinin normal bulut faaliyetleri gibi görünmesi ve aynı zamanda sıradan bulut hesaplarını kullanarak onlara ücretsiz, güvenli barındırma sağlanması için yapılır.
Buna göre, operasyonların sürekliliğini sağlamayı amaçlayan çeşitli tehdit aktörleri tarafından giderek daha fazla benimsenmesi göz önüne alındığında, yetkili API erişim kanallarının C2 için kötüye kullanılması, daha fazla uyanıklık ve yenilikçi koruma mekanizmaları gerektiren büyüyen bir sorun teşkil ediyor.
IoC’ler
- afeaf8bd61f70fc51fbde7aa63f5d8ad96964f40b7d7fce1012a0b842c83273e – BirdyClient
- 5c430e2770b59cceba1f1587b34e686d586d2c8ba1908bb5d066a616466d2cc6 – Mavi Işık
- 470cd1645d1da5566eef36c6e0b2a8ed510383657c4030180eb0083358813cd3 – Grafon
- f229a8eb6f5285a1762677c38175c71dead77768f6f5a6ebc320679068293231 – Grafit
- 4b78b1a3c162023f0c14498541cb6ae143fb01d8b50d6aa13ac302a84553e2d5 – Graphican
- a78cc475c1875186dcd1908b55c2eeaf1bcd59deff920f262f12a3a9e9bfa8 – Graphican
- 02e8ea9a58c13f216bdae478f9f007e20b45217742d0fbe47f66173f1b195ef5 – Graphican
- 1a87e1b41341ad042711faa0c601e7b238a47fa647c325f66b1c8c7b313c8bdf – SiestaGraph
- fe8f99445ad139160a47b109a8f3291eef9c6a23b4869c48d341380d608ed4cb – SiestaGraph
- 7fc54a287c08cde70fe860f7c65ff71ade24dfeedafdfea62a8a6ee57cc91950 – SiestaGraph
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide