資安業者賽門鐵克提出警告,他們看到有越來越多駭客,在攻擊行動當中,濫用微軟圖學資料分析服務Graph的API,並指出駭客這麼做的目的,通常是也利用微軟雲端服務架設C2基礎設施的情況下,能夠促進相關通訊的進行。
研究人員看到利用上述手法針對烏克蘭組織的攻擊行動,對方使用名為BirdyClient(或OneDriveBirdyClient)的惡意程式,並將其偽製成筆記型電腦觸控板驅動程式ALPS Pointing Device Driver(Apoint.exe)相關的DLL程式庫元件vxdiff.dll。
此惡意程式的主要功能,就是連接微軟Graph的API,並利用雲端檔案共享服務OneDrive充當C2伺服器,然後讓攻擊者能上傳或下載檔案。不過,攻擊者的動機為何?研究人員指出,由於尚未找到其他作案工具,目前無從得知意圖,也不確定攻擊者的身分。
但這並非駭客首度濫用Graph的API,最初是2021年資安業者Volexity發現,北韓駭客組織InkySquid在發動惡意軟體BlueLight攻擊行動的過程裡,就濫用這種API建立C2連線。曾經將該API用於攻擊行動的駭客組織,還包含了APT28、APT29、REF2924、Red Stinger、Flea、OilRig。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19
2024-11-14
Advertisement