Tehdit aktörleri artık daha fazla silahlanıyor ve Microsoft Grafik API’sini kötü amaçlarla kullanıyorlar. Symantec Tehdit Avcısı Ekibi, Microsoft bulut hizmetlerinde iletişimi kolaylaştırmak için C&C altyapısı olarak kullanılan API’yi tespit etti. Bu sayede APT28, REF2924, Red Stinger, Flea, APT29 ve OilRig gibi tehdit aktörleri de dahil olmak üzere birçok ulus-devlet uyumlu bilgisayar korsanlığı grubu tespit edildi.
Microsoft Graph API’nin yaygın olarak kullanılmadan önce Haziran 2021’de Graphon ve Harvester adlı kötü niyetli yazılımlarla ilişkilendirilen bir implant olan Graph API kullanımı bulundu. Ayrıca BirdyClient adlı kötü amaçlı yazılımın kullanımıyla Ukrayna’daki bir kuruluşa saldırılar yapıldığı belirlendi. Apoint adlı uygulamayla ilişkili bir DLL dosyası sayesinde OneDrive’ı C&C sunucusu olarak kullanmayı amaçlayan saldırganların kim olduğu ve ne amaçla hareket ettikleri ise henüz net değil.
Symantec’e göre, saldırganların C&C sunucularıyla iletişim kurmaları genellikle hedeflenen kuruluşlarda kırmızı bayraklar oluşturabilir. Bu durumda, Graph API’nin popülaritesi sayesinde saldırganlar daha az şüpheli görünerek saldırılarını daha etkili hale getirebilirler. Ayrıca, OneDrive gibi ücretsiz hizmetlerin saldırganlar için ucuz ve güvenli bir altyapı kaynağı olabileceği belirtiliyor.
Bu gelişmenin yanı sıra, Permiso’nun bulut yönetimi komutlarına ayrıcalıklı erişim sağladığı belirlendi. Bu da rakip tehdit aktörlerinin sanal makinelerde komut yürütmek için bu açıktan faydalanabileceği anlamına geliyor. Bu durumda, saldırganlar güvenilir ilişkilere sahip üçüncü taraf harici satıcılar veya yükleniciler aracılığıyla bağlantılı bilgi işlem örneklerinde veya hibrit ortamlarda komut yürüterek yükseltilmiş erişim elde edebilirler.
Sonuç olarak, Tehdit Avcısı Ekibi’nin bulguları gösteriyor ki, kötü niyetli aktörler giderek daha karmaşık ve sofistike hale geliyor. Bu nedenle, herkesin dikkatli olması ve güvenlik önlemlerini arttırması önemlidir. Eğer bu tarz teknik konular ilginizi çekiyorsa, bu haberleri takip etmeye devam etmeni öneririm!
