Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Легитимная платформа Microsoft Graph API превратилась в мощное оружие киберпреступников

06/05/24

MicrosoftGraphAPI

Киберпреступники всё чаще используют Microsoft Graph API для управления вредоносными программами и обхода систем обнаружения. По данным исследователей из компании Symantec, подобные действия направлены на облегчение связи с C2-инфраструктурой, размещённой в облачных сервисах Microsoft.

С января 2022 года специалисты фиксируют активное использование Microsoft Graph API разными группами хакеров, связанными с различными государствами. Среди них выделяются такие акторы угроз, как APT28, REF2924, Red Stinger, Flea, APT29 и OilRig, пишет Securitylab.

Первый известный случай применения Microsoft Graph API был зарегистрирован в июне 2021 года. Тогда использование API связывали с кластером деятельности, получившим название Harvester, а в атаках использовался специализированный имплантат под названием Graphon для связи с инфраструктурой Microsoft.

Недавно Symantec обнаружила использование этой же техники против неуказанной организации на Украине. В этом инциденте применялось ранее не задокументированное вредоносное ПО под названием BirdyClient (или OneDriveBirdyClient).

Программный модуль, обнаруженный в ходе атаки, носит название «vxdiff.dll» и совпадает с наименованием легитимного DLL, связанного с приложением Apoint («apoint.exe»). Он предназначен для подключения к Microsoft Graph API и использования OneDrive в качестве C2-сервера для загрузки и выгрузки файлов. Метод распространения этого DLL-файла пока не известен, как и окончательные цели киберпреступников.

Согласно отчёту Symantec, использование Graph API популярно среди атакующих, так как трафик к известным облачным сервисам менее подозрителен. Кроме того, для злоумышленников это дешёвый и безопасный способ получения инфраструктуры, поскольку базовые учётные записи сервисов вроде OneDrive предоставляются бесплатно.

Темы:MicrosoftУгрозыSymantec
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...