03 de mayo de 2024Sala de prensaSeguridad en la nube/Inteligencia sobre amenazas Los actores de amenazas han estado utilizando cada vez más la API Microsoft Graph como arma con fines maliciosos con el objetivo de evadir la detección. Esto se hace para «facilitar las comunicaciones con la infraestructura de comando y control (C&C) alojada en los servicios en la nube de Microsoft», dijo el Symantec Threat Hunter Team, parte de Broadcom, en un informe compartido con The Hacker News. Desde enero de 2022, se ha observado que varios grupos de hackers alineados con estados-nación utilizan Microsoft Graph API para C&C. Esto incluye actores de amenazas rastreados como APT28, REF2924, Red Stinger, Flea, APT29 y OilRig. La primera instancia conocida de Microsoft Graph API antes de su adopción más amplia se remonta a junio de 2021 en relación con un grupo de actividades denominado Harvester que se encontró utilizando un implante personalizado conocido como Graphon que utilizaba la API para comunicarse con la infraestructura de Microsoft. Symantec dijo que recientemente detectó el uso de la misma técnica contra una organización anónima en Ucrania, que implicó el despliegue de un malware previamente no documentado llamado BirdyClient (también conocido como OneDriveBirdyClient). Un archivo DLL con el nombre «vxdiff.dll», que es lo mismo que un DLL legítimo asociado con una aplicación llamada Apoint («apoint.exe»), está diseñado para conectarse a la API de Microsoft Graph y usar OneDrive como servidor C&C. para cargar y descargar archivos desde él. Actualmente se desconoce el método de distribución exacto del archivo DLL y si implica la carga lateral de DLL. Tampoco hay claridad sobre quiénes son los actores de la amenaza o cuáles son sus objetivos finales. «Las comunicaciones de los atacantes con los servidores C&C a menudo pueden generar señales de alerta en las organizaciones objetivo», dijo Symantec. «La popularidad de Graph API entre los atacantes puede deberse a la creencia de que es menos probable que el tráfico a entidades conocidas, como los servicios en la nube ampliamente utilizados, genere sospechas. «Además de parecer discreto, también es una fuente de infraestructura barata y segura. «La mayoría de las veces, los atacantes aprovechan las relaciones de confianza para ejecutar comandos en instancias informáticas (VM) conectadas o entornos híbridos al comprometer a proveedores o contratistas externos que tienen acceso privilegiado para administrar entornos internos basados ​​en la nube», dijo la firma de seguridad en la nube. «Al comprometer estas entidades externas, los atacantes pueden obtener un acceso elevado que les permite ejecutar comandos dentro de instancias informáticas (VM) o entornos híbridos». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.