top of page

Graph API:駭客利用Microsoft API進行隱秘攻擊,威脅數量不斷增加

Microsoft Graph API 成駭客新寵

越來越多的網路威脅開始利用Microsoft Graph API進行雲端指揮與控制(C&C)通信。最近在烏克蘭的一次攻擊中,發現了一個前所未見的惡意軟體BirdyClient,它通過Graph API將Microsoft OneDrive用作C&C伺服器。


BirdyClient——駭客的隱秘武器

在烏克蘭發現的惡意軟體似乎被其開發人員命名為 BirdyClient 或 OneDriveBirdyClient,因為在其程式碼中發現了對這兩個名稱的引用。它的檔案名稱 vxdiff.dll 與與名為 Apoint (apoint.exe) 的應用程式關聯的合法 DLL 相同,該應用程式是 Alps 指點裝置的驅動程式軟體,通常在筆記型電腦中找到。該惡意軟體是否只是偽裝成合法文件,或者是否被 Apoint 旁加載,目前仍不得而知。 


對 BirdyClient 惡意軟體(Trojan.BirdyClient)的分析表明,其主要功能是連接到 Microsoft Graph API,並使用 Microsoft OneDrive 作為 C&C 伺服器機制,從中上傳和下載檔案。


此範例還建立以下日誌檔案: 

%AllUsersProfile%/{0134AA2C-03BE-448D-8D28-7FFE94EA3A49}/config/001.temp

截至目前,尚未找到相關工具。目前尚不清楚威脅的開發者是誰以及他們的動機是什麼。 


Graph API的強大功能

Microsoft Graph API旨在讓開發者訪問Microsoft雲端服務上的資源,如Microsoft 365。它可以用來訪問電子郵件、行事曆事件、文件和設備等數據,並能與多種Microsoft服務進行整合。


早期的Graph API利用案例

BirdyClient並非首例利用Graph API的惡意軟體。北韓的APT37組織開發的Bluelight,以及Symantec在2021年發現的Backdoor.Graphon,都曾利用Graph API與Microsoft雲端服務通信。此外,2022年初發現的Graphite惡意軟體也通過Graph API與OneDrive進行通信。


廣泛採用的趨勢

其他間諜組織也迅速學習並開始在其工具集中利用Graph API。2022年底,Elastic Security 記錄了一次針對東南亞某國外交部的入侵,使用了名為SiestaGraph的工具。2023年6月,Symantec發現了由Flea組織使用的Backdoor.Graphican,它進一步利用Graph API進行C&C通信進行針對美洲外交部的間諜活動。


攻擊者的吸引力

攻擊者利用Graph API進行通信,可以降低被目標組織察覺的風險。由於Graph API流量看似正常且成本低廉,成為攻擊者的理想選擇。隨著人們對這種策略的認識不斷增強,嘗試利用 Graph 的攻擊者數量可能會進一步增加。


攻擊者與 C&C 伺服器的通訊通常會在目標組織中引發危險訊號。 Graph API 在攻擊者中的流行可能是因為他們相信流向已知實體(例如廣泛使用的雲端服務)的流量不太可能引起懷疑。除了看起來不起眼之外,它對於攻擊者來說也是一種廉價且安全的基礎設施來源,因為 OneDrive 等服務的基本帳戶是免費的。 


保護/緩解

有關最新的防護更新,請造訪Symantec Protection Bulletin


入侵指標 IoC

如果 IOC 是惡意的並且我們可以使用該文件,Symantec Endpoint 產品將偵測並封鎖該文件。

afeaf8bd61f70fc51fbde7aa63f5d8ad96964f40b7d7fce1012a0b842c83273e –BirdyClient

5c430e2770b59cceba1f1587b34e686d586d2c8ba1908bb5d066a616466d2cc6 – Bluelight

470cd1645d1da5566eef36c6e0b2a8ed510383657c4030180eb0083358813cd3 – Graphon

f229a8eb6f5285a1762677c38175c71dead77768f6f5a6ebc320679068293231 – Graphite

4b78b1a3c162023f0c14498541cb6ae143fb01d8b50d6aa13ac302a84553e2d5 – Graphican

a78cc475c1875186dcd1908b55c2eeaf1bcd59dedaff920f262f12a3a9e9bfa8 – Graphican

02e8ea9a58c13f216bdae478f9f007e20b45217742d0fbe47f66173f1b195ef5  – Graphican

1a87e1b41341ad042711faa0c601e7b238a47fa647c325f66b1c8c7b313c8bdf – SiestaGraph 

fe8f99445ad139160a47b109a8f3291eef9c6a23b4869c48d341380d608ed4cb – SiestaGraph

7fc54a287c08cde70fe860f7c65ff71ade24dfeedafdfea62a8a6ee57cc91950 – SiestaGraph


Symatnec Enterprise Blogs 原文出處

Comentarios

No se pudieron cargar los comentarios
Parece que hubo un problema técnico. Intenta volver a conectarte o actualiza la página.
bottom of page