Microsoft Graph API wykorzystywany przez hakerów do komunikacji C&C

Malware do przesyłania i pobierania plików

Analitycy bezpieczeństwa Symantec odkryli niedawno nieudokumentowane dotychczas złośliwe oprogramowanie o nazwie BirdyClient lub OneDriveBirdyClient, które wykorzystywało usługi Microsoft OneDrive do komunikacji C&C, łącząc się z interfejsem Graph API w celu przesyłania i pobierania plików. Ofiarą oprogramowania była organizacja w Ukrainie.

Co to jest Graph API?

Microsoft Graph to interfejs API zaprojektowany w celu umożliwienia programistom dostępu do zasobów hostowanych w usługach chmurowych Microsoft, takich jak Microsoft 365. Uwierzytelnianie odbywa się przy użyciu tokenów dostępu OAuth.

Interfejs może służyć do uzyskiwania dostępu do szerokiego zakresu danych i usług, jak poczta e‑mail, wydarzenia w kalendarzu, pliki lub urządzenia. Twórcy aplikacji mogą potencjalnie wykorzystać je do pobierania danych z jednej lub większej liczby usług Microsoft i integrowania ich z własnymi rozwiązaniami.

Podszywając się pod legalne oprogramowanie, podstawowa funkcjonalność szkodliwego oprogramowania ujawnia ewoluującą technikę, która wykorzystuje zaufane usługi w chmurze do szkodliwych celów przez podmioty zagrażające o nieznanej motywacji i przypisaniu.

Analiza techniczna

Komunikacja typu „dowodzenie i kontrola” (C&C) staje się coraz bardziej powszechna wśród atakujących, którzy korzystają z interfejsu Microsoft Graph API.

Dostęp Graph API do usług takich jak OneDrive jest wykorzystywany przez rodziny złośliwego oprogramowania, jak BirdyClient, Bluelight (grupa Vedalia/APT37), Backdoor.Graphon (grupa Harvester) i Graphite (grupa Swallowtail/APT28) do celów C&C.

Nowe podejście pomaga cyberprzestępcom ukryć złośliwą komunikację w legalnym ruchu w chmurze, co utrudnia jej wykrycie.

Zaawansowane, trwałe zagrożenia wykorzystujące nieznane kanały C2 utworzone w wyniku zmiany przeznaczenia możliwości integracji z chmurą budzą obawy dotyczące niewłaściwego wykorzystania zaufanych usług.

Z tego powodu interfejs Graph API staje się coraz bardziej popularny w przypadku nadużyć związanych z funkcją dowodzenia i kontroli (C&C) wśród różnych grup zagrożeń.

Przykłady malware

Pierwszy malware – SiestaGraph – wykorzystał usługi OneDrive i Microsoft 365 Mail do kierowania reklam na kraje będące członkami Stowarzyszenia Narodów Azji Południowo-Wschodniej (ASEAN).

Drugi – Backdoor.Graphican – to rozwinięta forma starszego szkodliwego oprogramowania. Został wykorzystany przez grupę Flea (APT15) w kampaniach przeciwko ministerstwom spraw zagranicznych, w których Graph API i OneDrive służyły jako komponenty infrastruktury C2.

Kolejny, o nazwie GraphStrike, to zestaw narzędzi do testów penetracyjnych — jeden z wielu przykładów ilustrujących, w jaki sposób osoby atakujące wykorzystują legalne możliwości integracji z chmurą do złośliwych celów komunikacyjnych, co pomaga im ukryć się w zaufanych usługach.

Co dalej z wykorzystaniem Graph API i jak się chronić?

W związku z coraz większą popularnością omawianej techniki wśród społeczności hakerskich powinniśmy spodziewać się, że uwierzytelniony dostęp do API będzie nadużywany jak nigdy dotąd, co przełoży się na nowe wyzwania.

Komunikacja atakującego z serwerami kontroli może często wywołać sygnały ostrzegawcze w docelowych organizacjach. Popularność Graph API wśród atakujących może wynikać z przekonania, że ruch do znanych podmiotów, jak powszechnie używane usługi w chmurze, rzadziej budzi podejrzenia. Oprócz tego, że wygląda niepozornie, jest także tanim i bezpiecznym źródłem infrastruktury dla atakujących, ponieważ podstawowe konta usług takich jak OneDrive są bezpłatne.

Biorąc pod uwagę coraz częstsze wdrażanie Graph API przez różne podmioty zagrażające w celu zapewnienia ciągłości działania, niewłaściwe wykorzystanie autoryzowanych kanałów dostępu API dla C2 stanowi rosnący problem wymagający większej czujności i innowacyjnych mechanizmów ochrony.