Hackers abusam cada vez mais da API Microsoft Graph para fins maliciosos

Atores de ameaças têm, de fato, explorado a API do Microsoft Graph para fins maliciosos, com o objetivo de evitar a detecção. Essa tendência tem sido observada desde janeiro de 2022, quando vários grupos de hackers alinhados a estados-nação começaram a utilizar a API para comunicação com infraestruturas de comando e controle (C&C) hospedadas nos serviços em nuvem da Microsoft1. Essa abordagem permite que eles operem de forma mais discreta e evitem detecção precoce.

API Microsoft Graph

A API de segurança do Microsoft Graph é uma interface unificada que permite a integração com soluções de segurança da Microsoft e parceiros do ecossistema. Ela oferece recursos para consolidar e correlacionar alertas de segurança de várias fontes, investigar incidentes e automatizar tarefas de segurança. Além disso, a API fornece visibilidade dos dados de segurança, permitindo o gerenciamento proativo de riscos

De fato, a API do Microsoft Graph tem uma história interessante e sua primeira instância conhecida remonta a junho de 2021. Nessa época, um cluster de atividades chamado “Harvester” foi descoberto usando um implante personalizado chamado “Graphon” para se comunicar com a infraestrutura da Microsoft por meio dessa API.

Recentemente, a Symantec detectou o uso dessa mesma técnica contra uma organização não identificada na Ucrânia. Nesse caso, um malware anteriormente não documentado chamado “BirdyClient” (também conhecido como “OneDriveBirdyClient”) foi implantado. Esse malware utiliza um arquivo DLL chamado “vxdiff.dll”, que tem o mesmo nome de uma DLL legítima associada a um aplicativo chamado “Apoint” (“apoint.exe”). O objetivo desse arquivo DLL é se conectar à API do Microsoft Graph e usar o OneDrive como um servidor C&C (comando e controle) para fazer upload e download de arquivos.

No entanto, ainda há muitas incógnitas em relação a esses ataques. O método exato de distribuição do arquivo DLL permanece desconhecido, e não está claro quem são os atores por trás dessa ameaça e quais são seus objetivos finais. Essa situação destaca a importância contínua de monitorar e proteger as infraestruturas de TI contra ameaças cibernéticas cada vez mais sofisticadas.

De fato, as comunicações entre invasores e servidores C&C podem ser um ponto de alerta para as organizações visadas. A popularidade da API Graph entre os invasores pode ser atribuída à crença de que o tráfego para entidades conhecidas, como serviços em nuvem amplamente utilizados, é menos suspeito. Além disso, essa abordagem parece discreta e oferece uma fonte de infraestrutura barata e segura para os invasores, especialmente porque contas básicas para serviços como o OneDrive são gratuitas.

A capacidade de usar serviços em nuvem como servidores C&C permite que os invasores operem de forma mais discreta e evitem detecção precoce. No entanto, é essencial que as organizações estejam cientes dessas táticas e adotem medidas de segurança adequadas para proteger suas infraestruturas de TI contra ameaças cibernéticas.

De fato, os comandos de administração da nuvem têm sido alvo de exploração por parte de adversários com acesso privilegiado. Essa tática é frequentemente utilizada por invasores que se aproveitam de relacionamentos confiáveis para executar comandos em instâncias de computação conectadas (VMs) ou ambientes híbridos. Eles comprometem fornecedores ou prestadores de serviços externos terceirizados que possuem acesso privilegiado para gerenciar ambientes internos baseados em nuvem.

Ao comprometer essas entidades externas, os invasores obtêm acesso elevado, o que lhes permite executar comandos dentro das instâncias de computação (VMs) ou ambientes híbridos. Essa abordagem pode levar a consequências graves, como violações de dados, comprometimento de sistemas e outros incidentes de segurança.