محققان امنیت سایبری از تیم شکارچی تهدید Symantec فاش کردند که چندین گروه هکری فعالانه از Microsoft Graph API برای پنهان کردن ارتباطات خود با زیرساخت فرماندهی و کنترل (C2) که در سرویس‌های ابری مایکروسافت میزبانی شده است استفاده می‌کنند.

محققان ادعا می‌کنند که دو سال و نیم است که گروه‌هایی مانند APT28، REF2924، Red Stinger، Flea، APT29 و Oilrig از این تکنیک استفاده می‌کنند تا از دید دور بمانند. در میان اهداف، یک سازمان ناشناس از اوکراین است که توسط یک بدافزار ناشناخته قبلی به نام BirdyClient آلوده شده است.

روش استفاده از APIهای Microsoft Graph برای پنهان کردن ارتباطات بدافزار اولین بار در ژوئن 2021 مشاهده شد، اما تنها یک سال بعد سرعت خود را افزایش داد.

قابل اعتماد و ارزان

محققان سیمانتک بر این باورند که گروه‌های هکر به دلیل موقعیت خوب این شرکت، سرویس‌های ابری مایکروسافت را برای میزبانی بدافزار انتخاب می‌کنند. آنها استدلال می کنند که این نوع ترافیک هیچ هشداری ایجاد نمی کند:

سیمانتک گفت: «ارتباطات مهاجمان با سرورهای C&C اغلب می‌تواند پرچم‌های قرمز را در سازمان‌های مورد نظر بلند کند. محبوبیت Graph API در بین مهاجمان ممکن است ناشی از این باور باشد که ترافیک به نهادهای شناخته شده، مانند سرویس‌های ابری پرکاربرد، کمتر باعث ایجاد سوء ظن می‌شود.»

همچنین سؤالی در مورد هزینه ها وجود دارد: "علاوه بر اینکه نامحسوس به نظر می رسد، منبع ارزان و ایمن زیرساختی برای مهاجمان است زیرا حساب های اولیه خدماتی مانند OneDrive رایگان هستند."

APT28 یک عامل تهدید بدنام تحت حمایت دولت روسیه است که در گذشته مشاهده شده است که از راه حل های مایکروسافت سوء استفاده می کند. در اواسط ماه مارس سال جاری، گزارشی از IBM X-Force ادعا کرد که این گروه از کنترل کننده پروتکل "search-ms" URI برای استقرار بدافزار برای قربانیان فیشینگ سوء استفاده می کند. در حالی که قربانیان آن ممکن است در مبارزات انتخاباتی متفاوت باشند، اما همیشه با منافع فدراسیون روسیه هماهنگ است. از این رو، قربانیان اغلب در اوکراین، گرجستان، بلاروس، قزاقستان، لهستان، ارمنستان، ایالات متحده و دیگران قرار دارند.

از طریق The Hacker News

بیشتر از TechRadar Pro