Last Updated on 2024-07-10 08:28 by admin
サイバーセキュリティの専門家であるSymantec Threat Hunter Teamは、ハッカーが検出を回避する目的でMicrosoft Graph APIを悪用していると報告している。このAPIは、Microsoftのクラウドサービス上にホストされたコマンド&コントロール(C&C)インフラとの通信を容易にするために使用されている。2022年1月以降、APT28、REF2924、Red Stinger、Flea、APT29、OilRigなど、複数の国家支援型ハッキンググループがMicrosoft Graph APIをC&C目的で使用していることが観察された。このAPIの悪用は、2021年6月に「Harvester」と呼ばれる活動クラスターがMicrosoftインフラと通信するためにGraphonというカスタムインプラントを使用していた事例に遡ることができる。
最近、Symantecはウクライナの未公開の組織に対して同じ技術が使用されたことを検出し、これには「BirdyClient」(別名OneDriveBirdyClient)と呼ばれる以前に文書化されていなかったマルウェアの展開が含まれていた。このマルウェアは、正当なDLLファイル「vxdiff.dll」と同じ名前を持ち、OneDriveをC&Cサーバーとして使用してファイルをアップロードおよびダウンロードするためにMicrosoft Graph APIに接続するよう設計されている。DLLファイルの正確な配布方法や、DLLサイドローディングが関与しているかどうか、脅威アクターの正体や最終目的については明らかにされていない。
Permisoによると、クラウド管理コマンドは、仮想マシン上でコマンドを実行するために特権アクセスを持つ敵によって悪用される可能性がある。攻撃者は、内部のクラウドベースの環境を管理するために特権アクセスを持つ第三者の外部ベンダーや契約業者を侵害することで、コンピュートインスタンス(VM)やハイブリッド環境内でコマンドを実行するための高度なアクセスを得ることが多い。
【ニュース解説】
ハッカーがMicrosoft Graph APIを悪用して、検出を避けながらマルウェアの通信を行うケースが増加しているという報告があります。Microsoft Graph APIは、Microsoftのクラウドサービス上にホストされたコマンド&コントロール(C&C)インフラとの通信を容易にするために設計されたものですが、この機能が悪意ある目的で使用されています。
2022年1月以降、APT28やOilRigなどの国家支援型ハッキンググループがこのAPIを利用していることが確認されています。特に注目されるのは、ウクライナの組織を標的にした攻撃で使用された「BirdyClient」という新たなマルウェアです。このマルウェアは、MicrosoftのOneDriveをC&Cサーバーとして利用し、ファイルのアップロードやダウンロードを行うためにMicrosoft Graph APIに接続します。
このような攻撃手法の選択は、Microsoftのような信頼されたクラウドサービスへの通信は疑われにくいという考えに基づいています。また、OneDriveのようなサービスは基本的なアカウントが無料で提供されているため、攻撃者にとってはコスト効率の良いインフラとなります。
一方で、Permisoの報告によると、クラウド管理コマンドが特権アクセスを持つ攻撃者によって悪用されるリスクも指摘されています。これは、外部ベンダーや契約業者が侵害されることで、攻撃者が仮想マシンやハイブリッド環境内でコマンドを実行するためのアクセスを得る可能性があることを意味します。
このような攻撃手法の増加は、企業や組織がクラウドサービスを利用する際のセキュリティ対策の重要性を改めて浮き彫りにしています。特に、信頼されたサービスを悪用する手法は、従来のセキュリティ対策では検出が困難であるため、より高度な監視や分析技術が求められます。また、外部ベンダーや契約業者との関係においても、セキュリティ対策の徹底が必要です。
長期的な視点では、クラウドサービスのセキュリティ強化と、これらのサービスを標的とする攻撃への対策が、サイバーセキュリティの分野でますます重要になってくるでしょう。企業や組織は、クラウドサービスの利用にあたって、セキュリティ対策を継続的に見直し、強化する必要があります。
from Hackers Increasingly Abusing Microsoft Graph API for Stealthy Malware Communications.