محققان امنیت سایبری از تیم شکارچی تهدید Symantec فاش کردند که چندین گروه هکری فعالانه از Microsoft Graph API برای پنهان کردن ارتباطات خود با زیرساخت فرماندهی و کنترل (C2) که در سرویسهای ابری مایکروسافت میزبانی شده است استفاده میکنند.
محققان ادعا میکنند که دو سال و نیم است که گروههایی مانند APT28، REF2924، Red Stinger، Flea، APT29 و Oilrig از این تکنیک استفاده میکنند تا از دید دور بمانند. در میان اهداف، یک سازمان ناشناس از اوکراین است که توسط یک بدافزار ناشناخته قبلی به نام BirdyClient آلوده شده است.
روش استفاده از APIهای Microsoft Graph برای پنهان کردن ارتباطات بدافزار اولین بار در ژوئن 2021 مشاهده شد، اما تنها یک سال بعد سرعت خود را افزایش داد.
قابل اعتماد و ارزان
محققان سیمانتک بر این باورند که گروههای هکر به دلیل موقعیت خوب این شرکت، سرویسهای ابری مایکروسافت را برای میزبانی بدافزار انتخاب میکنند. آنها استدلال می کنند که این نوع ترافیک هیچ هشداری ایجاد نمی کند:
سیمانتک گفت: «ارتباطات مهاجمان با سرورهای C&C اغلب میتواند پرچمهای قرمز را در سازمانهای مورد نظر بلند کند. محبوبیت Graph API در بین مهاجمان ممکن است ناشی از این باور باشد که ترافیک به نهادهای شناخته شده، مانند سرویسهای ابری پرکاربرد، کمتر باعث ایجاد سوء ظن میشود.»
همچنین سؤالی در مورد هزینه ها وجود دارد: "علاوه بر اینکه نامحسوس به نظر می رسد، منبع ارزان و ایمن زیرساختی برای مهاجمان است زیرا حساب های اولیه خدماتی مانند OneDrive رایگان هستند."
APT28 یک عامل تهدید بدنام تحت حمایت دولت روسیه است که در گذشته مشاهده شده است که از راه حل های مایکروسافت سوء استفاده می کند. در اواسط ماه مارس سال جاری، گزارشی از IBM X-Force ادعا کرد که این گروه از کنترل کننده پروتکل "search-ms" URI برای استقرار بدافزار برای قربانیان فیشینگ سوء استفاده می کند. در حالی که قربانیان آن ممکن است در مبارزات انتخاباتی متفاوت باشند، اما همیشه با منافع فدراسیون روسیه هماهنگ است. از این رو، قربانیان اغلب در اوکراین، گرجستان، بلاروس، قزاقستان، لهستان، ارمنستان، ایالات متحده و دیگران قرار دارند.
از طریق The Hacker News
ارسال نظر