Microsoft Graph bilgisayar korsanları için popüler bir hedef haline geliyor

Symantec Tehdit Avcısı Ekibi’nden siber güvenlik araştırmacıları, çok sayıda bilgisayar korsanı kolektifinin Microsoft bulut hizmetlerinde barındırılan komuta ve kontrol (C2) altyapısıyla iletişimlerini gizlemek için Microsoft Graph API’sini aktif olarak kullandığını ortaya çıkardı.

Araştırmacılar, APT28, REF2924, Red Stinger, Flea, APT29 ve Oilrig gibi grupların iki buçuk yıldır gözden uzak kalmak için bu tekniği kullandığını iddia ediyor. Hedefler arasında, BirdyClient olarak adlandırılan ve daha önce bilinmeyen bir kötü amaçlı yazılım varyantı tarafından enfekte edilen Ukrayna’dan isimsiz bir kuruluş da var.

Kötü amaçlı yazılım iletişimlerini gizlemek için Microsoft Graph API’lerini kullanma yöntemi ilk olarak Haziran 2021’de görüldü, ancak ancak bir yıl sonra hız kazandı.

Güvenilir ve ucuz

Symantec’in araştırmacıları, bilgisayar korsanlığı gruplarının kötü amaçlı yazılımları barındırmak için Microsoft’un bulut hizmetlerini tercih ettiğini düşünüyor. Araştırmacılar, bu tür bir trafiğin alarm vermeyeceğini savunuyor:

Symantec, “Saldırganların C&C sunucularıyla iletişimi, hedeflenen kuruluşlarda genellikle kırmızı bayrakları yükseltebilir” dedi. “Graph API’nin saldırganlar arasındaki popülerliği, yaygın olarak kullanılan bulut hizmetleri gibi bilinen varlıklara yönelik trafiğin şüphe uyandırma olasılığının daha düşük olduğu inancından kaynaklanıyor olabilir.”

Bir de maliyet sorunu var: “Göze çarpmamasının yanı sıra, OneDrive gibi hizmetlerin temel hesapları ücretsiz olduğu için saldırganlar için ucuz ve güvenli bir altyapı kaynağıdır.”

APT28, geçmişte Microsoft çözümlerini kötüye kullandığı gözlemlenen, Rus devlet destekli kötü şöhretli bir tehdit aktörüdür. Bu yılın Mart ayı ortasında, IBM’in X-Force’undan gelen bir rapor, grubun kimlik avı kurbanlarına kötü amaçlı yazılım dağıtmak için “search-ms” URI protokol işleyicisini kötüye kullandığını iddia etti. Kurbanları kampanyadan kampanyaya değişse de, her zaman Rus federasyonunun çıkarlarıyla uyumludur. Dolayısıyla, kurbanlar genellikle Ukrayna, Gürcistan, Belarus, Kazakistan, Polonya, Ermenistan, ABD ve diğer ülkelerde bulunmaktadır.