Aumento del abuso de la API de Microsoft Graph por parte de hackers para comunicaciones sigilosas de malware

Actores de amenazas han estado utilizando la API de Microsoft Graph con fines maliciosos para evadir la detección, facilitando así la comunicación con la infraestructura de comando y control (C&C) alojada en los servicios de la nube de Microsoft, según el equipo de Symantec Threat Hunter, parte de Broadcom.

Desde enero de 2022, se ha observado que grupos de piratería alineados con los estados nación, como APT28, REF2924, Red Stinger, Flea, APT29 y OilRig, están empleando la API de Microsoft Graph para C&C.

La primera mención de la API de Microsoft Graph se remonta a junio de 2021 en relación con un grupo de actividades llamado Harvester que utilizaba un implante personalizado conocido como Graphon para comunicarse con la infraestructura de Microsoft.

Symantec recientemente detectó el uso de esta técnica contra una organización no identificada en Ucrania, que implicaba el despliegue de una pieza de malware previamente no documentada llamada BirdyClient (también conocida como OneDriveBirdyClient).

Un archivo DLL llamado «vxdiff.dll«, idéntico a un DLL legítimo asociado con una aplicación llamada Apoint («apoint.exe»), está diseñado para conectarse a la API de Microsoft Graph y utilizar OneDrive como servidor C&C para subir y descargar archivos.

El método exacto de distribución del archivo DLL, y si implica la carga lateral de DLL, se desconoce en la actualidad. Tampoco está claro quiénes son los actores de amenazas ni cuáles son sus objetivos finales.

Symantec enfatizó que las comunicaciones del atacante con los servidores C&C pueden ser detectadas por las organizaciones objetivo, y que la popularidad de la API de Graph entre los atacantes podría deberse a la creencia de que el tráfico hacia entidades conocidas, como servicios en la nube ampliamente utilizados, levanta menos sospechas.

Además de parecer menos sospechoso, también es una fuente barata y segura de infraestructura para los atacantes, ya que las cuentas básicas para servicios como OneDrive son gratuitas.

Este desarrollo se produce cuando Permiso reveló cómo los comandos de administración en la nube podrían ser aprovechados por adversarios con acceso privilegiado para ejecutar comandos en máquinas virtuales.

La firma de seguridad en la nube advirtió que los atacantes suelen aprovechar las relaciones de confianza para ejecutar comandos en instancias de cómputo conectadas (VM) o entornos híbridos, comprometiendo terceros proveedores o contratistas con acceso privilegiado a entornos basados en la nube.

Al comprometer estas entidades externas, los atacantes pueden obtener acceso elevado que les permite ejecutar comandos dentro de las instancias de cómputo (VM) o entornos híbridos.

Vía The Hacker News