Los hackers están abusando cada vez más de la API de Microsoft Graph para comunicaciones de malware sigilosas

Luis Quiles

mayo 19, 2024

Inteligencia de Amenazas, Seguridad de la Nube

Los actores de amenazas han estado armando cada vez más la API de Microsoft Graph con fines maliciosos con el objetivo de evadir la detección.

Esto se hace para «facilitar las comunicaciones con la infraestructura de comando y control (C&C) alojada en los servicios en la nube de Microsoft,» dijo el equipo Symantec Threat Hunter, parte de Broadcom, en un informe compartido con The Hacker News.

Desde enero de 2022, se ha observado a múltiples grupos de hackers alineados con estados-nación utilizando la API de Microsoft Graph para C&C. Esto incluye a actores de amenazas rastreados como APT28, REF2924, Red Stinger, Flea, APT29 y OilRig.

El primer caso conocido de abuso de la API de Microsoft Graph antes de su adopción más amplia se remonta a junio de 2021, en relación con un clúster de actividad denominado Harvester, que utilizaba un implante personalizado conocido como Graphon para comunicarse con la infraestructura de Microsoft.

Symantec dijo que recientemente detectó el uso de la misma técnica contra una organización no identificada en Ucrania, que involucraba la implementación de un malware previamente no documentado llamado BirdyClient (también conocido como OneDriveBirdyClient).

Un archivo DLL con el nombre «vxdiff.dll,» que es el mismo que el de un DLL legítimo asociado con una aplicación llamada Apoint («apoint.exe»), está diseñado para conectarse a la API de Microsoft Graph y usar OneDrive como un servidor de C&C para cargar y descargar archivos desde él.

El método exacto de distribución del archivo DLL, y si implica la carga lateral de DLL, se desconoce en la actualidad. Tampoco hay claridad sobre quiénes son los actores de la amenaza o cuáles son sus objetivos finales.

«Las comunicaciones de los atacantes con los servidores de C&C a menudo pueden levantar banderas rojas en las organizaciones objetivo,» dijo Symantec. «La popularidad de la API de Graph entre los atacantes puede deberse a la creencia de que el tráfico hacia entidades conocidas, como los servicios en la nube ampliamente utilizados, es menos probable que genere sospechas.

«Además de parecer discretos, también es una fuente de infraestructura barata y segura para los atacantes, ya que las cuentas básicas para servicios como OneDrive son gratuitas.»

El desarrollo se produce mientras Permiso revelaba cómo los comandos de administración en la nube podrían ser explotados por adversarios con acceso privilegiado para ejecutar comandos en máquinas virtuales.

«La mayoría de las veces, los atacantes aprovechan las relaciones de confianza para ejecutar comandos en instancias de cómputo conectadas (VMs) o entornos híbridos comprometiendo a proveedores externos o contratistas que tienen acceso privilegiado para gestionar entornos basados en la nube internos,» dijo la firma de seguridad en la nube.

«Al comprometer a estas entidades externas, los atacantes pueden obtener acceso elevado que les permite ejecutar comandos dentro de instancias de cómputo (VMs) o entornos híbridos.»

Tags :