Hackerlar, Kötü Amaçlı Yazılım İletişimi için Microsoft Graph API'sini Kullanıyor

06.05.2024

Tehdit aktörleri, algılanmamak için Microsoft Graph API'sini kötü amaçlarla kullanmada giderek artan bir eğilim göstermektedir. Symantec Tehdit Avcısı Ekibi tarafından paylaşılan bir rapora göre, bu taktik, Microsoft bulut hizmetlerinde barındırılan komuta ve kontrol (C&C) altyapısı ile iletişim kurmayı amaçlamaktadır.

Ocak 2022'den bu yana, APT28, REF2924, Red Stinger, Flea, APT29 ve OilRig gibi birkaç ulus-devletle ilişkilendirilen hacker grubunun, C&C faaliyetleri için Microsoft Graph API'sini kullandıkları gözlemlenmiştir. Microsoft Graph API kötüye kullanımına dair ilk belgelenmiş örnek Haziran 2021'e dayanmaktadır ve Harvester adı verilen bir etkinlik kümesiyle ilişkilendirilmiştir; bu etkinlik, Microsoft altyapısı ile iletişim için Graphon adlı özel bir implant kullanmıştır.

Son zamanlarda, Symantec, BirdyClient (ayrıca OneDriveBirdyClient olarak da bilinir) adında daha önce belgelenmemiş bir kötü amaçlı yazılımın, belirli bir Ukrayna kuruluşuna karşı kullanıldığını tespit etmiştir. Bu kötü amaçlı yazılım, 'vxdiff.dll' adında bir DLL dosyası kullanır ki bu dosya, 'apoint.exe' adlı bir uygulamaya ait olan yasal bir DLL ile aynı ada sahiptir. Kötü amaçlı DLL, Microsoft Graph API ile etkileşim kurmak ve OneDrive'ı dosyaları yüklemek ve indirmek için bir C&C sunucusu olarak kullanmak üzere tasarlanmıştır.

DLL dosyasının dağıtılma yöntemi tam olarak bilinmemektedir, bunun DLL yan yükleme gibi bir yöntem içerip içermediği de bilinmemektedir. Ayrıca, tehdit aktörlerinin kimlikleri ve amaçları net değildir.

Symantec'e göre, saldırganlar ile C&C sunucuları arasındaki iletişim, hedeflenen kuruluşlarda şüphe uyandırabilir. Saldırganların Graph API'yi tercih etmesinin nedeni, saldırı trafiğinin yaygın olarak kullanılan bulut hizmetleri gibi bilinen varlıklara gitmesinin daha az şüphe uyandıracağı inancından kaynaklanabilir. Ayrıca, bu tür hizmetler, temel hesaplarının ücretsiz olması nedeniyle saldırganlara maliyet etkin ve güvenli bir altyapı sunar.

Bu gelişme, Permiso'dan bulut yönetimi komutlarının, ayrıcalıklı erişime sahip saldırganlar tarafından sanal makinelerde komutları yürütmek için nasıl kötüye kullanılabileceği ile ilgili ortaya çıkanlarla örtüşmektedir. Bulut güvenlik firmasına göre, saldırganlar sık ​​sık içsel bulut tabanlı ortamları yönetmek için ayrıcalıklı erişime sahip olan üçüncü taraf harici satıcıları veya taşeronları ele geçirerek bu güvenilir ilişkileri kötüye kullanır. Bu harici varlıkları ele geçirerek, saldırganlar, içsel bulut tabanlı ortamlarda komutları yürütmelerine izin verecek yükseltilmiş erişim elde edebilirler.