Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Легитимная платформа Microsoft Graph API превратилась в мощное оружие киберпреступников

06/05/24

MicrosoftGraphAPI

Киберпреступники всё чаще используют Microsoft Graph API для управления вредоносными программами и обхода систем обнаружения. По данным исследователей из компании Symantec, подобные действия направлены на облегчение связи с C2-инфраструктурой, размещённой в облачных сервисах Microsoft.

С января 2022 года специалисты фиксируют активное использование Microsoft Graph API разными группами хакеров, связанными с различными государствами. Среди них выделяются такие акторы угроз, как APT28, REF2924, Red Stinger, Flea, APT29 и OilRig, пишет Securitylab.

Первый известный случай применения Microsoft Graph API был зарегистрирован в июне 2021 года. Тогда использование API связывали с кластером деятельности, получившим название Harvester, а в атаках использовался специализированный имплантат под названием Graphon для связи с инфраструктурой Microsoft.

Недавно Symantec обнаружила использование этой же техники против неуказанной организации на Украине. В этом инциденте применялось ранее не задокументированное вредоносное ПО под названием BirdyClient (или OneDriveBirdyClient).

Программный модуль, обнаруженный в ходе атаки, носит название «vxdiff.dll» и совпадает с наименованием легитимного DLL, связанного с приложением Apoint («apoint.exe»). Он предназначен для подключения к Microsoft Graph API и использования OneDrive в качестве C2-сервера для загрузки и выгрузки файлов. Метод распространения этого DLL-файла пока не известен, как и окончательные цели киберпреступников.

Согласно отчёту Symantec, использование Graph API популярно среди атакующих, так как трафик к известным облачным сервисам менее подозрителен. Кроме того, для злоумышленников это дешёвый и безопасный способ получения инфраструктуры, поскольку базовые учётные записи сервисов вроде OneDrive предоставляются бесплатно.

Темы:MicrosoftУгрозыSymantec
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...