Aumento de abusos de la API de Microsoft Graph para comunicaciones sigilosas de malware

XPoint
Publicado el 03/05/2024

Los actores de amenazas han estado utilizando cada vez más la API de Microsoft Graph con propósitos maliciosos con el objetivo de evadir la detección.

Esto se hace para «facilitar las comunicaciones con la infraestructura de comando y control (C&C) alojada en los servicios en la nube de Microsoft», dijo el Equipo de Cazadores de Amenazas de Symantec, parte de Broadcom, en un informe compartido con The Hacker News.

Desde enero de 2022, se ha observado a varios grupos de hackers alineados con estados-nación utilizando la API de Microsoft Graph para C&C. Esto incluye a actores de amenazas identificados como APT28, REF2924, Red Stinger, Flea, APT29 y OilRig.

Ciberseguridad La primera instancia conocida de la API de Microsoft Graph antes de su adopción más amplia data de junio de 2021 en relación con un grupo de actividad denominado Harvester que fue encontrado utilizando un implante personalizado conocido como Graphon que utilizaba la API para comunicarse con la infraestructura de Microsoft.

Symantec dijo que recientemente detectó el uso de la misma técnica contra una organización no nombrada en Ucrania, que involucraba el despliegue de un malware previamente no documentado llamado BirdyClient (también conocido como OneDriveBirdyClient).

Un archivo DLL con el nombre «vxdiff.dll», que es el mismo que un DLL legítimo asociado con una aplicación llamada Apoint («apoint.exe»), está diseñado para conectarse a la API de Microsoft Graph y usar OneDrive como un servidor C&C para cargar y descargar archivos de él.

El método exacto de distribución del archivo DLL, y si implica la carga lateral de DLL, es desconocido en la actualidad. Tampoco hay claridad sobre quiénes son los actores de amenazas o cuáles son sus objetivos finales.

«Las comunicaciones del atacante con los servidores C&C a menudo pueden levantar banderas rojas en organizaciones objetivo», dijo Symantec. «La popularidad de la API de Graph entre los atacantes puede deberse a la creencia de que el tráfico hacia entidades conocidas, como los servicios en la nube ampliamente utilizados, es menos probable que levante sospechas.

«Además de parecer inofensivo, también es una fuente barata y segura de infraestructura para los atacantes, ya que las cuentas básicas de servicios como OneDrive son gratuitas».

Ciberseguridad El desarrollo se produce cuando Permiso reveló cómo los comandos de administración en la nube podrían ser explotados por adversarios con acceso privilegiado para ejecutar comandos en máquinas virtuales.

«La mayoría de las veces, los atacantes aprovechan las relaciones de confianza para ejecutar comandos en instancias de cómputo conectadas (VM) o entornos híbridos al comprometer a terceros proveedores externos o contratistas que tienen acceso privilegiado para administrar entornos basados en la nube internos», dijo la firma de seguridad en la nube.

«Al comprometer estas entidades externas, los atacantes pueden obtener acceso elevado que les permite ejecutar comandos dentro de las instancias de cómputo (VM) o entornos híbridos».

Preguntas frecuentes

¿Cuál es la función de Microsoft Graph?

+

Microsoft Graph proporciona acceso a los datos almacenados en servicios de Microsoft 365. Las aplicaciones personalizadas pueden usar la API de Microsoft Graph para conectarse a los datos y usarla en aplicaciones personalizadas para mejorar la productividad de la organización.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos