威胁预警! 黑客正在滥用微软 Graph API 与C&C“隐蔽通信”

FreeBuf2024-05-06 13:28:03  94

如今,越来越多黑客开始利用微软图形应用程序接口(Graph API)逃避安全检测。博通公司旗下的赛门铁克威胁猎人团队在一份报告中提到,这样做是为了方便与托管在微软云服务上的命令与控制(C&C)基础设施进行通信。

自2022年1月以来,已观察到多个与国家结盟的黑客组织使用微软图形API进行C&C。其中包括被追踪为 APT28、REF2924、Red Stinger、Flea、APT29 和 OilRig 等黑客组织。

在微软图形应用程序接口(Graph API)被更广泛地采用之前,第一个已知的微软图形应用程序接口滥用实例可追溯到 2021 年 6 月。当时一个被称为 Harvester 的组织使用了一个名为 Graphon 的定制植入程序,该植入程序利用 API 与微软基础架构进行通信。

赛门铁克称最近检测到了针对乌克兰一个未具名组织使用了相同的技术,其中涉及部署一个以前未记录的名为BirdyClient(又名OneDriveBirdyClient)的恶意软件。

这是一个名称为 "vxdiff.dll "的 DLL 文件,与一个名为 Apoint 的应用程序("apoint.exe")的合法 DLL 文件相同,其目的是连接到 Microsoft Graph API,并将 OneDrive 用作 C&C 服务器,从中上传和下载文件。

目前尚不清楚 DLL 文件的确切传播方式,也不知道是否涉及 DLL 侧载,具体威胁方以及最终目的是什么目前也是未知。

赛门铁克表示:攻击者与 C&C 服务器的通信通常会引起目标组织的警惕。Graph API之所以受到攻击者的青睐,可能是因为他们认为这种通信方式不太会引起怀疑。

除了看起来不显眼之外,它还是攻击者廉价而安全的基础设施来源,因为OneDrive等服务的基本账户是免费的。Permiso揭示了拥有特权访问权限的攻击者如何利用云管理命令在虚拟机上执行命令。

这家云安全公司表示:大多数情况下,攻击者会利用信任关系,通过入侵第三方外部供应商或承包商,在连接的虚拟机或混合环境中执行命令,而这些外部供应商或承包商拥有管理内部云环境的权限。

通过入侵这些外部实体,攻击者可以获得高级访问权限,从而在虚拟机或混合环境中执行命令。

转载此文是出于传递更多信息目的。若来源标注错误或侵犯了您的合法权益,请与本站联系,我们将及时更正、删除、谢谢。
https://www.414w.com/read/432032.html
0
随机主题
运输利勃海尔956瑞丰银行: 山高路远, 道阻且长三大消息:中方罕见打破沉默!“逮捕以总理”突响;美国紧急发声烂番茄93%, 有人狂骂, 有人狂爱, 信谁?LOL官方推特: 如果全世界都与Faker为敌, 那我就与全世界为敌国家金融监督管理总局录用1472人, 研究生667人, 财经政法为主广东省: 打造覆盖粤港澳大湾区主要区域的低空空中交通走廊, 探索开辟粤琼低空航线伊朗一天内解开总统坠机谜团: 原是技术故障, 美国终于放心深圳坪山携手复旦大学 推动集成电路与半导体产业创新发展辽宁三连冠! 500万大咖怒喷: 这是中国篮球的耻辱和悲哀小马科斯现身军校, 连放狠话, 终于对中国籍船员出手, 国防部正告出口超1000万美元!长兴这家企业忙飞了中国制造又杀回第一!再次超过美国,成印度第一大贸易伙伴都2024年了, 为何还有那么多人选择买手动挡? 我说这才是根本原因沃尔沃两款新车售价曝光! 贴牌极星徽章, 2.0T+电机, 心动吗张作霖做事有多狠?不仅崩掉自己小舅子,还敢集合部队和日本开战李彦宏吐槽AI发展速度“太慢了,AGI还要十年以上”,英语流利秒杀一大帮老对手新形势下地方招商引资的挑战与应对TES有救了? 涵艺: 前EDG教练茂凯将加入TES! 教练组均将重新洗牌极星CEO: 不再依赖沃尔沃和吉利! 两款新车将用“自家”技术丰田新款“大号凯美瑞”亮相, 氢燃料电池车, 海外售价不菲!
最新回复(0)