W sieci pojawiły się nowe zagrożenia wykorzystujące interfejs Microsoft Graph API do ułatwiania komunikacji typu „dowodzenie i kontrola” (C&C) za pośrednictwem usług w chmurze Microsoft.
Malware do przesyłania i pobierania plików
Analitycy bezpieczeństwa Symantec odkryli niedawno nieudokumentowane dotychczas złośliwe oprogramowanie o nazwie BirdyClient lub OneDriveBirdyClient, które wykorzystywało usługi Microsoft OneDrive do komunikacji C&C, łącząc się z interfejsem Graph API w celu przesyłania i pobierania plików. Ofiarą systemu była organizacja w Ukrainie.
Co to jest Graph API?
Microsoft Graph to interfejs API zaprojektowany w celu umożliwienia programistom dostępu do zasobów hostowanych w usługach chmurowych Microsoft, takich jak Microsoft 365. Uwierzytelnianie odbywa się przy użyciu tokenów dostępu OAuth.
Interfejs może służyć do uzyskiwania dostępu do szerokiego zakresu danych i usług, jak poczta e‑mail, wydarzenia w kalendarzu, pliki lub urządzenia. Twórcy aplikacji mogą potencjalnie wykorzystać je do pobierania danych z jednej lub większej liczby usług Microsoft i integrowania ich z własnymi rozwiązaniami.
Podszywając się pod legalne oprogramowanie, podstawowa funkcjonalność szkodliwego systemu ujawnia ewoluującą technikę, która wykorzystuje zaufane usługi w chmurze do szkodliwych celów przez podmioty zagrażające o nieznanej motywacji i przypisaniu.
Analiza techniczna
Komunikacja typu „dowodzenie i kontrola” (C&C) staje się coraz bardziej powszechna wśród atakujących, którzy korzystają z interfejsu Microsoft Graph API.
Dostęp Graph API do usług takich jak OneDrive jest wykorzystywany przez rodziny złośliwego oprogramowania, jak BirdyClient, Bluelight (grupa Vedalia/APT37), Backdoor.Graphon (grupa Harvester) i Graphite (grupa Swallowtail/APT28) do celów C&C.
Nowe podejście pomaga cyberprzestępcom ukryć złośliwą komunikację w legalnym ruchu w chmurze, co utrudnia jej wykrycie.
Zaawansowane, trwałe zagrożenia wykorzystujące nieznane kanały C2 utworzone w wyniku zmiany przeznaczenia możliwości integracji z chmurą budzą obawy dotyczące niewłaściwego wykorzystania zaufanych usług.
Z tego powodu interfejs Graph API staje się coraz bardziej popularny w przypadku nadużyć związanych z funkcją dowodzenia i kontroli (C&C) wśród różnych grup zagrożeń.
Przykłady malware
Pierwszy malware – SiestaGraph – wykorzystał usługi OneDrive i Microsoft 365 Mail do kierowania reklam na kraje będące członkami Stowarzyszenia Narodów Azji Południowo-Wschodniej (ASEAN).
Drugi – Backdoor.Graphican – to rozwinięta forma starszego szkodliwego oprogramowania. Został wykorzystany przez grupę Flea (APT15) w kampaniach przeciwko ministerstwom spraw zagranicznych, w których Graph API i OneDrive służyły jako komponenty infrastruktury C2.
Kolejny, o nazwie GraphStrike, to zestaw narzędzi do testów penetracyjnych — jeden z wielu przykładów ilustrujących, w jaki sposób osoby atakujące wykorzystują legalne możliwości integracji z chmurą do złośliwych celów komunikacyjnych, co pomaga im ukryć się w zaufanych usługach.
Co dalej z wykorzystaniem Graph API i jak się chronić?
W związku z coraz większą popularnością omawianej techniki wśród społeczności hakerskich powinniśmy spodziewać się, iż uwierzytelniony dostęp do API będzie nadużywany jak nigdy dotąd, co przełoży się na nowe wyzwania.
Komunikacja atakującego z serwerami kontroli może często wywołać sygnały ostrzegawcze w docelowych organizacjach. Popularność Graph API wśród atakujących może wynikać z przekonania, iż ruch do znanych podmiotów, jak powszechnie używane usługi w chmurze, rzadziej budzi podejrzenia. Oprócz tego, iż wygląda niepozornie, jest także tanim i bezpiecznym źródłem infrastruktury dla atakujących, ponieważ podstawowe konta usług takich jak OneDrive są bezpłatne.
Biorąc pod uwagę coraz częstsze wdrażanie Graph API przez różne podmioty zagrażające w celu zapewnienia ciągłości działania, niewłaściwe wykorzystanie autoryzowanych kanałów dostępu API dla C2 stanowi rosnący problem wymagający większej czujności i innowacyjnych mechanizmów ochrony.
