Los actores de amenazas han estado utilizando cada vez más la API de Microsoft Graph con fines maliciosos con el objetivo de evadir la detección.
Según un informe compartido con The Hacker News por el Equipo de Cazadores de Amenazas de Symantec, parte de Broadcom, esto se hace para “facilitar las comunicaciones con la infraestructura de comando y control (C&C) alojada en servicios en la nube de Microsoft”.
Desde enero de 2022, se ha observado que múltiples grupos de piratería alineados con estados nacionales utilizan la API de Microsoft Graph para C&C. Esto incluye a actores de amenazas rastreados como APT28, REF2924, Red Stinger, Flea, APT29 y OilRig.
El primer caso conocido de uso de la API de Microsoft Graph antes de su adopción más amplia se remonta a junio de 2021 en relación con un grupo de actividad denominado Harvester que se encontró utilizando un implante personalizado conocido como Graphon que utilizaba la API para comunicarse con la infraestructura de Microsoft.
Symantec dijo que recientemente detectó el uso de la misma técnica contra una organización no identificada en Ucrania, que involucraba el despliegue de un malware previamente no documentado llamado BirdyClient (también conocido como OneDriveBirdyClient).
Un archivo DLL con el nombre “vxdiff.dll”, que es el mismo que un DLL legítimo asociado con una aplicación llamada Apoint (“apoint.exe”), está diseñado para conectarse a la API de Microsoft Graph y utilizar OneDrive como servidor C&C para cargar y descargar archivos desde él.
El método exacto de distribución del archivo DLL, y si implica la carga lateral de DLL, es desconocido en la actualidad. Tampoco hay claridad sobre quiénes son los actores de amenazas o cuáles son sus objetivos finales.
“Las comunicaciones del atacante con los servidores C&C a menudo pueden levantar alertas en las organizaciones objetivo”, dijo Symantec. “La popularidad de la API Graph entre los atacantes puede deberse a la creencia de que el tráfico hacia entidades conocidas, como servicios en la nube ampliamente utilizados, es menos probable que levante sospechas.
“Además de parecer poco sospechoso, también es una fuente de infraestructura barata y segura para los atacantes, ya que las cuentas básicas para servicios como OneDrive son gratuitas”.
Este desarrollo se produce cuando Permiso reveló cómo los comandos de administración en la nube podrían ser explotados por adversarios con acceso privilegiado para ejecutar comandos en máquinas virtuales.
“La mayoría de las veces, los atacantes aprovechan las relaciones de confianza para ejecutar comandos en instancias de cómputo conectadas (VM) o entornos híbridos comprometiendo a terceros externos o contratistas que tienen acceso privilegiado para administrar entornos basados en la nube internos”, dijo la empresa de seguridad en la nube.
“Al comprometer estas entidades externas, los atacantes pueden obtener acceso elevado que les permite ejecutar comandos dentro de instancias de cómputo (VM) o entornos híbridos”.
Fuentes:https://thehackernews.com/2024/05/hackers-increasingly-abusing-microsoft.html