News Киберпреступники используют Microsoft Graph API для скрытых атак в облаке

AdobeStock_234259154.jpeg
Киберпреступники все чаще прибегают к Microsoft Graph API, который изначально был создан для упрощения доступа к облачным сервисам компании. Этот интерфейс дает возможность управлять различными функциями и данными в облаке, такими как файлы, электронная почта и календари. Исследователи из Symantec , что хакеры активно используют API для управления вредоносными программами и создания скрытой инфраструктуры C2 в облачных сервисах.

Первый случай злоупотребления API был зафиксирован в июне 2021 года, когда киберпреступники воспользовались инструментом под названием Graphon для взаимодействия с инфраструктурой Microsoft. В последующие годы различные хакерские группировки, включая известные APT группы, такие как APT28 и APT29, адаптировали этот метод для своих целей.

Этот подход используется для скрытия вредоносного трафика за обычным обменом данными с сервисами Microsoft, что затрудняет его обнаружение. Недавно было выявлено использование программного модуля с названием «vxdiff.dll», который, под видом законного файла, взаимодействует с Microsoft Graph API для управления данными в OneDrive, который выступает в роли сервера для команд и контроля.​
 
  • Нравится
Реакции: Julss
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!