Tehdit aktörleri, tespit edilmekten kaçınmak amacıyla kötü niyetli amaçlarla Microsoft Graph API’yi giderek daha fazla silah haline getiriyor.
Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, The Hacker News ile paylaşılan bir raporda bunun “Microsoft bulut hizmetlerinde barındırılan komuta ve kontrol (C&C) altyapısıyla iletişimi kolaylaştırmak” için yapıldığını söyledi.
Ocak 2022’den bu yana, C&C için Microsoft Graph API’yi kullanan çok sayıda ulus-devlet uyumlu bilgisayar korsanlığı grubu gözlemlendi. Buna APT28, REF2924, Red Stinger, Flea, APT29 ve OilRig olarak takip edilen tehdit aktörleri de dahildir.
Microsoft Graph API’nin daha geniş çapta benimsenmeden önce bilinen ilk örneği, Microsoft altyapısıyla iletişim kurmak için API’yi kullanan Graphon olarak bilinen özel bir implant kullanılarak bulunan Harvester adlı bir etkinlik kümesiyle bağlantılı olarak Haziran 2021’e kadar uzanıyor.
Symantec, yakın zamanda aynı tekniğin Ukrayna’daki isimsiz bir kuruluşa karşı kullanıldığını tespit ettiğini söyledi; bu, BirdyClient (diğer adıyla OneDriveBirdyClient) adı verilen daha önce belgelenmemiş bir kötü amaçlı yazılım parçasının konuşlandırılmasını içeriyordu.
Apoint (“apoint.exe”) adı verilen bir uygulamayla ilişkili meşru DLL ile aynı olan “vxdiff.dll” adlı bir DLL dosyası, Microsoft Graph API’sine bağlanmak ve OneDrive’ı bir C&C sunucusu olarak kullanmak için tasarlanmıştır. buradan dosya yüklemek ve indirmek için.
DLL dosyasının tam dağıtım yöntemi ve DLL tarafından yüklemeyi gerektirip gerektirmediği şu anda bilinmiyor. Tehdit aktörlerinin kim olduğu ve nihai amaçlarının ne olduğu konusunda da netlik bulunmuyor.
Symantec, “Saldırganın C&C sunucularıyla iletişimi, hedeflenen kuruluşlarda genellikle kırmızı bayraklara yol açabilir” dedi. “Graph API’nin saldırganlar arasındaki popülaritesi, yaygın olarak kullanılan bulut hizmetleri gibi bilinen varlıklara yönelik trafiğin şüphe uyandırma ihtimalinin daha düşük olduğu inancından kaynaklanıyor olabilir.
“Göze çarpmayan görünmesinin yanı sıra, OneDrive gibi hizmetlerin temel hesapları ücretsiz olduğundan saldırganlar için ucuz ve güvenli bir altyapı kaynağıdır.”
Bu gelişme, Permiso’nun, sanal makinelerde komutları yürütmek için ayrıcalıklı erişime sahip rakipler tarafından bulut yönetimi komutlarından nasıl yararlanılabileceğini ortaya çıkarmasıyla ortaya çıktı.
Bulut güvenlik firması, “Çoğu zaman saldırganlar, bağlı bilgi işlem örneklerinde (VM’ler) veya hibrit ortamlarda komutları yürütmek için dahili bulut tabanlı ortamları yönetmek için ayrıcalıklı erişime sahip üçüncü taraf harici satıcılar veya yüklenicilerin güvenliğini tehlikeye atarak güvenilir ilişkilerden yararlanır” dedi.
“Saldırganlar, bu harici varlıkların güvenliğini ihlal ederek, bilgi işlem örnekleri (VM’ler) veya hibrit ortamlarda komutları yürütmelerine olanak tanıyan yükseltilmiş erişim elde edebilir.”