Vari criminali informatici in giro per il mondo stanno sempre più spesso sfruttando le API di Microsoft Graph per scopi malevoli, al fine di evitare di essere tracciati.
In quale modo gli hacker sfruttano le API di Microsoft Graph
Ciò viene fatto per “agevolare le comunicazioni con l’infrastruttura di comando e controllo (C&C) ospitata sui servizi cloud di Microsoft,” ha detto il team di Symantec Threat Hunter, parte di Broadcom, in un rapporto che è stato recentemente condiviso..
Dal gennaio 2022, sono stati osservati diversi gruppi di hacker allineati a stati nazionali che utilizzano l’API di Microsoft Graph per il C&C; ciò include vari gruppi di hacker più o meno noti come APT28, REF2924, Red Stinger, Flea, APT29 e OilRig.
La prima istanza conosciuta di Microsoft Graph API prima della sua adozione più ampia risale a giugno 2021 in connessione con un cluster di attività denominato Harvester che è stato trovato a utilizzare un impianto personalizzato noto come Graphon che utilizzava l’API per comunicare con l’infrastruttura Microsoft.
Le ipotesi di Symantec riguardo l’uso indiscriminato delle API di Microsoft Graph
Symantec ha detto di aver recentemente rilevato l’uso della stessa tecnica contro un’organizzazione non nominata in Ucraina, che ha coinvolto il rilascio di un malware precedentemente non documentato chiamato BirdyClient (tale malware è noto anche con il nome di OneDriveBirdyClient).
Un file DLL con il nome “vxdiff.dll”, che è lo stesso di un DLL legittimo associato a un’applicazione chiamata Apoint (“apoint.exe”), è progettato per connettersi all’API di Microsoft Graph e utilizzare OneDrive come server di comando-e-controllo per caricare e scaricare file da esso.
Il metodo preciso di distribuzione del file DLL e se comporta il side-loading del DLL è attualmente sconosciuto; tra l’altro non è nemmno molto chiaro su chi siano i criminali informatici responsabili o quali siano i loro obiettivi finali.
Quali sono le conseguenze dell'”iniezione” di questi file DLL in un sistema Windows
“Le comunicazioni dell’attaccante con i server Comando-e-Controllo possono spesso sollevare bandiere rosse nelle organizzazioni prese di mira,” ha detto Symantec. “La popolarità dell’API Graph tra gli attaccanti potrebbe essere motivata dalla convinzione che il traffico verso entità conosciute, come servizi cloud ampiamente utilizzati, sia meno probabile sollevare sospetti.
“Oltre ad apparire inconspicua, è anche una fonte economica e sicura di infrastruttura per gli attaccanti, poiché gli account di base per servizi come OneDrive sono gratuiti.”
Lo sviluppo arriva mentre Permiso ha rivelato come i comandi di amministrazione del cloud potrebbero essere sfruttati dagli avversari con accesso privilegiato per eseguire comandi su macchine virtuali.
“La maggior parte delle volte, gli attaccanti sfruttano relazioni di fiducia per eseguire comandi in istanze di calcolo connesse (VM) o ambienti ibridi compromettendo fornitori esterni terzi o appaltatori che hanno accesso privilegiato per gestire ambienti basati su cloud interni,” ha detto l’azienda di sicurezza cloud, che ha poi aggiunto “Compromettendo queste entità esterne, gli attaccanti possono ottenere accesso elevato che consente loro di eseguire comandi all’interno di istanze di calcolo (VM) o ambienti ibridi.”
Conclusione
In conclusione, l’aumento dell’utilizzo delle API di Microsoft Graph da parte di criminali informatici per fini malevoli è una tendenza abbastanza preoccupante nel panorama della sicurezza informatica.
Questo approccio consente loro di eludere i sistemi di rilevamento tradizionali e di stabilire comunicazioni con server di comando-e-controllo tramite servizi cloud popolari come OneDrive, (ce ne sono altri, come ad esempio Google Drive, ma in questo caso vengono sfruttati servizi Microsoft).
La complessità e l’ingegnosità di tali attacchi richiedono una costante vigilanza e adattamento delle strategie difensive da parte delle organizzazioni; pertanto la cooperazione tra esperti di sicurezza informatica e fornitori di servizi cloud è essenziale per contrastare efficacemente questa minaccia in evoluzione e proteggere le infrastrutture digitali da ulteriori compromissioni.