Microsoft Graph API: как легитимная платформа превратилась в мощное оружие киберпреступников

Киберпреступники всё чаще используют Microsoft Graph API для управления вредоносными программами и обхода систем обнаружения. По данным исследователей из компании Symantec, подобные действия направлены на облегчение связи с C2-инфраструктурой, размещённой в облачных сервисах Microsoft.

С января 2022 года специалисты фиксируют активное использование Microsoft Graph API разными группами хакеров, связанными с различными государствами. Среди них выделяются такие акторы угроз, как APT28, REF2924, Red Stinger, Flea, APT29 и OilRig.

Первый известный случай применения Microsoft Graph API был зарегистрирован в июне 2021 года. Тогда использование API связывали с кластером деятельности, получившим название Harvester, а в атаках использовался специализированный имплантат под названием Graphon для связи с инфраструктурой Microsoft.

Недавно Symantec обнаружила использование этой же техники против неуказанной организации на Украине. В этом инциденте применялось ранее не задокументированное вредоносное ПО под названием BirdyClient (или OneDriveBirdyClient).

Программный модуль, обнаруженный в ходе атаки, носит название «vxdiff.dll» и совпадает с наименованием легитимного DLL, связанного с приложением Apoint («apoint.exe»). Он предназначен для подключения к Microsoft Graph API и использования OneDrive в качестве C2-сервера для загрузки и выгрузки файлов. Метод распространения этого DLL-файла пока не известен, как и окончательные цели киберпреступников.

Согласно отчёту Symantec, использование Graph API популярно среди атакующих, так как трафик к известным облачным сервисам менее подозрителен. Кроме того, для злоумышленников это дешёвый и безопасный способ получения инфраструктуры, поскольку базовые учётные записи сервисов вроде OneDrive предоставляются бесплатно.

Также сообщается о возможностях злоупотребления командами администрирования облака, которые могут быть использованы злоумышленниками для выполнения произвольных действий в виртуальных машинах при наличии привилегированного доступа.

Это часто достигается за счёт компрометации внешних подрядчиков или контрагентов, которые имеют привилегированный доступ к управлению внутренними облачными средами.