图形 API 通常用于与基于云的命令和控制服务器进行不显眼的通信
越来越多的威胁已开始利用 Microsoft Graph API,通常用于促进与 Microsoft 云服务上托管的命令和控制 (C&C) 基础结构的通信。
该技术最近用于对乌克兰一个组织的攻击,其中以前未记录的恶意软件使用图形 API 将 Microsoft OneDrive 用于 C&C 目的。
Birdy客户端
在乌克兰发现的恶意软件似乎被其开发人员命名为 BirdyClient 或 OneDriveBirdyClient,因为在其代码中发现了对这两个名称的引用。它的文件name—vxdiff.dll—与一个名为Apoint(apoint.exe)的应用程序关联的合法DLL相同,Apoint是Alps指针设备的驱动程序软件,通常在笔记本电脑中找到。该恶意软件是否只是伪装成合法文件,或者它是否被 Apoint 旁加载,仍然未知。
对BirdyClient恶意软件(Trojan.BirdyClient)的分析显示,其主要功能是连接到Microsoft Graph API,并使用Microsoft OneDrive作为C&C服务器机制从中上传和下载文件。此示例还会创建以下日志文件:
%AllUsersProfile%/{0134AA2C-03BE-448D-8D28-7FFE94EA3A49}/config/001.temp
迄今为止,尚未找到相关工具。目前尚不清楚威胁的开发者是谁以及他们的动机是什么。
什么是图形 API?
Graph 是一个 Microsoft API,旨在允许开发人员访问 Microsoft 云服务(如 Microsoft 365)上托管的资源。身份验证是使用 OAuth 访问令牌执行的。
Graph 可用于访问各种数据和服务,例如电子邮件、日历事件、文件或设备。应用程序开发人员可能会使用它从一个或多个 Microsoft 服务中提取数据,并将其集成到自己的解决方案中。
开创性的使用
BirdyClient 是利用图形 API 的最新威胁。第一个已知的用途是由与朝鲜有联系的 Vedalia 间谍组织(又名 APT37)开发的,该组织开发了 Bluelight,这是一种第二阶段有效载荷,可以与几种不同的云服务进行通信,用于 C&C 目的。根据发现 Bluelight 的 Volexity 的说法,它分析的变体使用 Graph API 与 OneDrive 进行通信。
2021 年 10 月,赛门铁克揭露了 Harvester 组织,这是一个由民族国家支持的间谍活动,目标是南亚的组织。它的工具集包括一个名为Backdoor.Graphon的自定义后门,它使用图形API与Microsoft基础设施进行通信,以达到C&C目的。
2022 年 1 月,随着 Graphite 的发现,该技术进一步引起了公众的关注,Graphite 是一种使用 Graph API 与充当 C&C 服务器的 OneDrive 帐户进行通信的恶意软件。
石墨被用于反对欧洲和亚洲几个政府的运动中。攻击始于鱼叉式网络钓鱼电子邮件,这些电子邮件提供了包含远程代码执行漏洞的 Excel 下载器 (CVE-2021-40444)。这导致了第二阶段下载器的安装,然后是 Graphite 和辅助有效载荷 PowerShell Empire。该活动最终与俄罗斯燕尾间谍组织(又名 APT28、Fancy Bear)有关。
更广泛地采用
其他间谍组织似乎很快就从早期用户那里学到了东西,并开始在他们的工具集中利用图形 API。2022 年 12 月,Elastic 安全记录了东盟成员国外事办公室遭到入侵。部署的工具包括SiestaGraph,它使用Graph API与OneDrive和Microsoft 365 Mail进行交互,以用于C&C目的。SiestaGraph 似乎正在不断开发中。2023 年 9 月,赛门铁克发现了该恶意软件的新变种,其中包含与最初记录的命令标识符不同的命令标识符。
2023 年 6 月,赛门铁克发现了 Backdoor.Graphican,它被 Flea(又名 APT15,Nickel)高级持续威胁 (APT) 组织用于主要针对美洲外交部的间谍活动。
Graphican 是称为 Ketrican 的旧 Flea 后门的演变,它本身基于以前的恶意软件 BS2005,Flea 也使用过该恶意软件。Graphican具有与Ketrican相同的功能,但其新功能包括使用Microsoft Graph API和OneDrive来获取其C&C基础结构。
其他人正在从它在野外的使用中学习。例如,渗透测试公司 RedSiege 最近宣布开发 GraphStrike,这是一个与 Cobalt Strike 配合使用的工具集,使 Cobalt Strike Beacon 有效载荷能够使用 Graph API 进行 HTTPS C&C 通信。
呼吁攻击者
攻击者与 C&C 服务器的通信通常会在目标组织中引发危险信号。Graph API 在攻击者中的受欢迎程度可能是因为他们认为流向已知实体(例如广泛使用的云服务)的流量不太可能引起怀疑。除了看起来不起眼之外,它还是攻击者的廉价和安全的基础设施来源,因为 OneDrive 等服务的基本帐户是免费的。随着人们对这种策略的认识不断提高,试图利用 Graph 的攻击者数量可能会进一步增加。
IOC
afeaf8bd61f70fc51fbde7aa63f5d8ad96964f40b7d7fce1012a0b842c83273e –BirdyClient
5c430e2770b59cceba1f1587b34e686d586d2c8ba1908bb5d066a616466d2cc6 – Bluelight
470cd1645d1da5566eef36c6e0b2a8ed510383657c4030180eb0083358813cd3 – Graphon
f229a8eb6f5285a1762677c38175c71dead77768f6f5a6ebc320679068293231 – Graphite
4b78b1a3c162023f0c14498541cb6ae143fb01d8b50d6aa13ac302a84553e2d5 – Graphican
a78cc475c1875186dcd1908b55c2eeaf1bcd59dedaff920f262f12a3a9e9bfa8 – Graphican
02e8ea9a58c13f216bdae478f9f007e20b45217742d0fbe47f66173f1b195ef5 – Graphican
1a87e1b41341ad042711faa0c601e7b238a47fa647c325f66b1c8c7b313c8bdf – SiestaGraph
fe8f99445ad139160a47b109a8f3291eef9c6a23b4869c48d341380d608ed4cb – SiestaGraph
7fc54a287c08cde70fe860f7c65ff71ade24dfeedafdfea62a8a6ee57cc91950 – SiestaGraph参考链接: http://www.cntd.org.cn/hotNews/detail/1789125787115573250
图片来源网络侵权可联系删除
