Ouvidoria 0800 718 2048 | SAC 0800 200 6070 | Sinistros 0800 202 2042

Manchetes do Mercado

6 de maio de 2024

Cibercriminosos usam API do Microsoft Graph para comunicações de comando e controle

Compartilhe

Uma nova ameaça está surgindo, utilizando a API do Microsoft Graph para facilitar comunicações de comando e controle (C&C) por meio dos serviços de nuvem da Microsoft.

Malware BirdyClient ou OneDriveBirdyClient

Recentemente, os analistas de segurança da Symantec identificaram um malware anteriormente desconhecido, denominado BirdyClient ou OneDriveBirdyClient.

Exploração do Microsoft OneDrive

Esse malware, direcionado a uma organização na Ucrânia, explorou o Microsoft OneDrive para C&C, conectando-se à Graph API para transferir arquivos.

Tática em evolução

Apesar de se camuflar como software legítimo, a funcionalidade principal do malware revela uma tática em evolução, utilizando serviços de nuvem confiáveis para propósitos maliciosos por atores de ameaças de motivação e atribuição desconhecidas.

Abuso da Graph API

O uso da Graph API para serviços como o OneDrive é uma estratégia comum entre várias famílias de malware, incluindo BirdyClient, Bluelight, Backdoor.Graphon e Graphite, para fins de C&C.

Dificultando a detecção

Essa abordagem inovadora permite que os atores de ameaças escondam suas comunicações maliciosas no tráfego legítimo da nuvem, dificultando sua detecção.

Preocupações sobre o uso indevido de serviços confiáveis

As ameaças persistentes avançadas que exploram canais de C&C desconhecidos, utilizando recursos de integração em nuvem, levantam preocupações sobre o uso indevido de serviços confiáveis.

Popularidade da API do Microsoft Graph

A API do Microsoft Graph tornou-se uma escolha popular para abuso de C&C entre diversos grupos de ameaças.

Camuflagem das atividades maliciosas

Para evitar a detecção, os atores de ameaças passaram a usar a API do Microsoft Graph como plataforma para seus servidores de comando e controle.

Hospedagem gratuita e segura

Isso permite que suas atividades maliciosas sejam camufladas como atividades normais na nuvem, ao mesmo tempo em que usufruem de hospedagem gratuita e segura utilizando contas de nuvem convencionais.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

ciberciminosos microsoft seguro cyber

Publicado em: