Վերջին շրջանում հաքերներնը նորովի են թարմացրել և վերազինել Microsoft Graph API-երը՝ իրենց հարձակումներում կիրառելու և հայտնաբերումից խուսափելու համար։
Սա արվում է Microsoft-ի cloud command-and-control (C&C) ենթակառուցվածքի հետ հաղորդակցությունն ավելի հեշտացնելու համար», – ասվում է Broadcom-ի մաս կազմող Symantec Threat Hunter Team-ի զեկույցում։
2022 թվականի հունվարից ի վեր պետական հովանավորրությունը վայելող մի շարք հանցախմբեր օգտագործել են Microsoft Graph API-ը C&C-ի համար: Ասվածն իր մեջ ընդգրկում է՝ APT28, REF2924, Red Stinger, Flea, APT29 և OilRig հանցախմբերին։
Symantec-ի փոխանցմամբ, վերջերս հայտնաբերված նույն տեխնիկայի կիրառումը ենթադրող կազմակերպության ձեռագիրն այս անգամ ուղղված էր Ուկրաինային, ինչը ներառում էր նախկինում BirdyClient (ներկա անվանումը՝ OneDriveBirdyClient) կոչվող malware-ը։
Բացահայտումը տեղի ունեցավ այն ժամանակ, երբ Permiso-ն փոխանցեց, թե ինչպես cloud administration հրամանները կարող են շահագործվել վիրտուալ մեքենաների վրա, որպեսզի արտոնյալ մուտք ապահովեն հաքերների համար։
«Հաքերներն առավել հաճախ օգտագործում են trusted relationship–ները՝ հիբրիդային միջավայրերում հրամաններ կատարելու և third-party external շուկաներում վաճառողներին հատուկ արտոնոթյուններ տալու համար, որոնք կարողանում են cloud-based միջավայրեր կառավարել և վերահսկել», – նշում է ամպային տեխնոլոգիաների գծով անվտանգության ընկերությունը:
«Վտանգելով արտաքին սուբյեկտները՝ հաքերները կարող են արտոնություններ և հասանելիություն ձեռք բերել համակարգերում, ինչն էլ նրանց թույլ կտա compute instance (VMs)–երում և hybrid–ային համակարգերում տարբեր հրամաններ իրականացնել»:
Աղբյուրը՝ https://thehackernews.com/
