Bedreigingsactoren zijn de Microsoft Graph API steeds meer gaan bewapenen voor kwaadaardige doeleinden met als doel detectie te omzeilen.
Dit wordt gedaan om “de communicatie te vergemakkelijken met de command-and-control (C&C)-infrastructuur die wordt gehost op Microsoft-cloudservices”, aldus het Symantec Threat Hunter Team, onderdeel van Broadcom, in een rapport gedeeld met The Hacker News.
Sinds januari 2022 zijn meerdere nationale hackgroepen waargenomen die de Microsoft Graph API voor C&C gebruiken. Dit omvat bedreigingsactoren die worden gevolgd als APT28, REF2924, Red Stinger, Flea, APT29 en OilRig.
Het eerste bekende exemplaar van Microsoft Graph API vóór de bredere acceptatie ervan dateert van juni 2021 in verband met een activiteitencluster genaamd Harvester dat werd gevonden met behulp van een aangepast implantaat bekend als Graphon dat de API gebruikte om te communiceren met de Microsoft-infrastructuur.
Symantec zei dat het onlangs het gebruik van dezelfde techniek tegen een naamloze organisatie in Oekraïne heeft gedetecteerd, waarbij een voorheen ongedocumenteerd stuk malware werd ingezet, genaamd BirdyClient (ook bekend als OneDriveBirdyClient).
Een DLL-bestand met de naam 'vxdiff.dll', wat hetzelfde is als een legitieme DLL die is gekoppeld aan een applicatie genaamd Apoint ('apoint.exe'). Het is ontworpen om verbinding te maken met de Microsoft Graph API en OneDrive als C&C-server te gebruiken om er bestanden van te uploaden en downloaden.
De exacte distributiemethode van het DLL-bestand, en of het side-loading van DLL's met zich meebrengt, is momenteel onbekend. Er bestaat ook geen duidelijkheid over wie de dreigingsactoren zijn of wat hun uiteindelijke doelen zijn.
“Communicatie van aanvallers met C&C-servers kan vaak waarschuwingssignalen oproepen bij gerichte organisaties”, aldus Symantec. “De populariteit van de Graph API onder aanvallers kan worden veroorzaakt door de overtuiging dat verkeer naar bekende entiteiten, zoals veelgebruikte clouddiensten, minder snel argwaan wekt.
“Behalve dat het onopvallend lijkt, is het ook een goedkope en veilige bron van infrastructuur voor aanvallers, omdat basisaccounts voor diensten als OneDrive gratis zijn.”
De ontwikkeling komt op het moment dat Permiso onthulde hoe opdrachten voor cloudbeheer kunnen worden uitgebuit door kwaadwillenden met bevoorrechte toegang om opdrachten uit te voeren op virtuele machines.
“Meestal maken aanvallers gebruik van vertrouwde relaties om opdrachten uit te voeren in verbonden compute-instances (VM's) of hybride omgevingen door externe externe leveranciers of contractanten in gevaar te brengen die bevoorrechte toegang hebben om interne cloudgebaseerde omgevingen te beheren”, aldus het cloudbeveiligingsbedrijf.
“Door deze externe entiteiten in gevaar te brengen, kunnen aanvallers verhoogde toegang krijgen waarmee ze opdrachten kunnen uitvoeren binnen compute instances (VM’s) of hybride omgevingen.”
