Хакеры обрушились на Microsoft: облачные сервисы под угрозой

Microsoft Graph API, первоначально созданный для упрощения доступа к облачным сервисам компании, всё чаще становится инструментом в руках киберпреступников. Это API позволяет управлять различными облачными функциями и данными, включая файлы, почту и календари. Недавно исследователи из Symantec выявили, что хакеры активно используют этот интерфейс для управления вредоносными программами и организации C2-инфраструктуры, скрытой в легитимных облачных сервисах.

Первое зарегистрированное использование API для злонамеренных целей было зафиксировано в июне 2021 года. Киберпреступники использовали специальный имплантат под названием Graphon для взаимодействия с инфраструктурой Microsoft. В последующие годы различные группы хакеров, включая известные APT группы, такие как APT28 и APT29, адаптировали этот метод для своих операций.

Система используется для маскировки вредоносного трафика под легитимный обмен данными с сервисами Microsoft, что затрудняет его обнаружение. Недавно было выявлено использование программного модуля с названием «vxdiff.dll», который, под видом легитимного файла, подключается к Microsoft Graph API для управления данными в OneDrive, используемом как сервер для команд и контроля.

Symantec отмечает, что такой подход предоставляет злоумышленникам не только возможность скрытной коммуникации, но и экономически выгодное решение, так как базовые учётные записи для доступа к облачным сервисам часто предоставляются бесплатно. Это открывает перед хакерами широкие возможности для организации своих операций без значительных вложений.