6 de maio de 2024

Cibercriminosos usam API do Microsoft Graph para comunicações de comando e controle

Compartilhe

Uma nova ameaça está surgindo, utilizando a API do Microsoft Graph para facilitar comunicações de comando e controle (C&C) por meio dos serviços de nuvem da Microsoft.

Malware BirdyClient ou OneDriveBirdyClient

Recentemente, os analistas de segurança da Symantec identificaram um malware anteriormente desconhecido, denominado BirdyClient ou OneDriveBirdyClient.

Exploração do Microsoft OneDrive

Esse malware, direcionado a uma organização na Ucrânia, explorou o Microsoft OneDrive para C&C, conectando-se à Graph API para transferir arquivos.

Tática em evolução

Apesar de se camuflar como software legítimo, a funcionalidade principal do malware revela uma tática em evolução, utilizando serviços de nuvem confiáveis para propósitos maliciosos por atores de ameaças de motivação e atribuição desconhecidas.

Abuso da Graph API

O uso da Graph API para serviços como o OneDrive é uma estratégia comum entre várias famílias de malware, incluindo BirdyClient, Bluelight, Backdoor.Graphon e Graphite, para fins de C&C.

Dificultando a detecção

Essa abordagem inovadora permite que os atores de ameaças escondam suas comunicações maliciosas no tráfego legítimo da nuvem, dificultando sua detecção.

Preocupações sobre o uso indevido de serviços confiáveis

As ameaças persistentes avançadas que exploram canais de C&C desconhecidos, utilizando recursos de integração em nuvem, levantam preocupações sobre o uso indevido de serviços confiáveis.

Popularidade da API do Microsoft Graph

A API do Microsoft Graph tornou-se uma escolha popular para abuso de C&C entre diversos grupos de ameaças.

Camuflagem das atividades maliciosas

Para evitar a detecção, os atores de ameaças passaram a usar a API do Microsoft Graph como plataforma para seus servidores de comando e controle.

Hospedagem gratuita e segura

Isso permite que suas atividades maliciosas sejam camufladas como atividades normais na nuvem, ao mesmo tempo em que usufruem de hospedagem gratuita e segura utilizando contas de nuvem convencionais.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

Publicado em: seguro cyber

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcional".
cookielawinfo-checkbox-necessary	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessário".
cookielawinfo-checkbox-others	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-performance	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Desempenho".
viewed_cookie_policy	11 months	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Manchetes do Mercado

Cibercriminosos usam API do Microsoft Graph para comunicações de comando e controle

Saiba mais sobre o Seguro Cyber:

Veja mais