如今，越來越多黑客開始利用微軟圖形應(yīng)用程序接口（Graph API）逃避安全檢測(cè)。博通公司旗下的賽門鐵克威脅獵人團(tuán)隊(duì)在一份報(bào)告中提到，這樣做是為了方便與托管在微軟云服務(wù)上的命令與控制（C&C）基礎(chǔ)設(shè)施進(jìn)行通信。

自2022年1月以來，已觀察到多個(gè)與國(guó)家結(jié)盟的黑客組織使用微軟圖形API進(jìn)行C&C。其中包括被追蹤為 APT28、REF2924、Red Stinger、Flea、APT29 和 OilRig 等黑客組織。

在微軟圖形應(yīng)用程序接口（Graph API）被更廣泛地采用之前，第一個(gè)已知的微軟圖形應(yīng)用程序接口濫用實(shí)例可追溯到 2021 年 6 月。當(dāng)時(shí)一個(gè)被稱為 Harvester 的組織使用了一個(gè)名為 Graphon 的定制植入程序，該植入程序利用 API 與微軟基礎(chǔ)架構(gòu)進(jìn)行通信。

賽門鐵克稱最近檢測(cè)到了針對(duì)烏克蘭一個(gè)未具名組織使用了相同的技術(shù)，其中涉及部署一個(gè)以前未記錄的名為BirdyClient（又名OneDriveBirdyClient）的惡意軟件。

這是一個(gè)名稱為 "vxdiff.dll "的 DLL 文件，與一個(gè)名為 Apoint 的應(yīng)用程序（"apoint.exe"）的合法 DLL 文件相同，其目的是連接到 Microsoft Graph API，并將 OneDrive 用作 C&C 服務(wù)器，從中上傳和下載文件。

目前尚不清楚 DLL 文件的確切傳播方式，也不知道是否涉及 DLL 側(cè)載，具體威脅方以及最終目的是什么目前也是未知。

賽門鐵克表示：攻擊者與 C&C 服務(wù)器的通信通常會(huì)引起目標(biāo)組織的警惕。Graph API之所以受到攻擊者的青睞，可能是因?yàn)樗麄冋J(rèn)為這種通信方式不太會(huì)引起懷疑。

除了看起來不顯眼之外，它還是攻擊者廉價(jià)而安全的基礎(chǔ)設(shè)施來源，因?yàn)镺neDrive等服務(wù)的基本賬戶是免費(fèi)的。Permiso揭示了擁有特權(quán)訪問權(quán)限的攻擊者如何利用云管理命令在虛擬機(jī)上執(zhí)行命令。

這家云安全公司表示：大多數(shù)情況下，攻擊者會(huì)利用信任關(guān)系，通過入侵第三方外部供應(yīng)商或承包商，在連接的虛擬機(jī)或混合環(huán)境中執(zhí)行命令，而這些外部供應(yīng)商或承包商擁有管理內(nèi)部云環(huán)境的權(quán)限。

通過入侵這些外部實(shí)體，攻擊者可以獲得高級(jí)訪問權(quán)限，從而在虛擬機(jī)或混合環(huán)境中執(zhí)行命令。