Новая тактика кибератак: злоупотребление Microsoft Graph API

Исследование компании Symantec раскрывает, что киберпреступные группировки активизировали использование Microsoft Graph API для скрытного управления своими серверами команд и контроля, которые базируются на облачных сервисах Microsoft. Это позволяет им оставаться незаметными для систем безопасности.

Среди заметных пользователей этой техники находятся группы APT28, Red Stinger и OilRig. Начало их активности с применением Microsoft Graph API датируется июнем 2021 года, когда был обнаружен вредонос Graphon, который активно взаимодействовал с облачными ресурсами Microsoft.

Не так давно в Украине была зарегистрирована атака с использованием вредоносного кода BirdyClient (или OneDriveBirdyClient), который через API подключался к OneDrive. Это обеспечивало возможность передачи и приёма файлов через облачный сервис, который выступал в роли сервера для команд и контроля.

Кроме того, компания Permiso продемонстрировала, как можно злоупотреблять административными командами облака для манипуляций в виртуальных машинах, особенно если доступ получен через третьих лиц или внешних подрядчиков с привилегированным доступом.

Эти стратегии делают киберпреступников особенно трудноуловимыми для стандартных мероприятий по обеспечению кибербезопасности, так как использование популярных облачных платформ вроде OneDrive считается менее подозрительным и доступным для широкого круга пользователей.