Microsoft Graph API ：C2 インフラ構築のための悪用が増加している

Microsoft Graph API Emerges as a Top Attacker Tool to Plot Data Theft

2024/05/02 DarkReading — 国家によるスパイ活動において増加しているのは、C2 (command-and-control) サーバをホストするために、Microsoft のネイティブ・サービスを利用するケースである。近ごろ、多くのグループが、独自のインフラを構築し維持するよりも、Microsoft のサービスを利用した方が経済的／効果的であるということに気づき始めている。独自のインフラを構築／維持する必要がないため、コストや手間が省けるだけではなく、正規のサービスを利用することで、攻撃者の悪意の行動を巧妙に、正規のネットワーク・トラフィックに紛れ込ませることが可能になる。

そこで便利なのが、Microsoft Graph である。一般的な開発者たちは、Microsoft Graph が提供する API を使用することで、Microsoft のクラウド・サービス全体にわたる幅広いデータ (Ｅメール／カレンダー・イベント／ファイルなど) に接続している。その一方でハッカーたちは、この機能を悪用することで、簡単に C2 インフラを構築している。

最近の事例として、Symantec の脅威ハンターが発見したのは、ウクライナの組織に対して使用された BirdyClient と呼ばれる新種のマルウェアである。このマルウェアは、OneDrive を使ってファイルをアップロード／ダウンロードするために、Graph API への接続を前提として設計されたものだった。

Microsoft Graph を悪用するハッカーたち

上記の BirdyClient の前には、複数の異なる Microsoft のクラウド・サービスを介して C&C (command-and-control) する、２段階のツール Bluelight があった。それは 2021年に初めて発見されたものであり、北朝鮮の APT37 (別名：ScarCruft／Reaper／Group123) により開発されていた。

Symantec の Principal Intelligence Analyst である Dick O’Brien は、「このような現状が、サイバー犯罪グループやスパイ・グループにおいて、数多く確認されている。 誰かが新しいテクニックを発見すると、誰もがそれをコピーする。今回のケースもそうだ」とコメントしている。

Bluelight の後に登場した Backdoor.Graphon は、南アジアの組織に対する国家をバックにしたスパイ活動で、Harvester グループが使用していたものだ。その後に、ヨーロッパとアジアの政府に対するスピア・フィッシング攻撃で拡散した Graphite や、2022年12月に東南アジアの外務省に侵入した SiestaGraph が登場している。

2023年6月に登場したのは、APT15 (別名：Flea／Nickel／Vixen Panda／KE3CHANG／Royal APT／Playful Dragon) が、アメリカ大陸の各国の外務省に対して使用した Backdoor.Graphican である。

その１カ月後は、ロシアの Cozy Bear (別名：APT29／Cloaked Ursa／UAC-0004／Midnight Blizzard／Nobelium) が、世界的な外交使節団に対する攻撃で同じ手口を素養しているのを、研究者たちが発見している。さらに、2023年11月にも、アジアの標的を狙った未公表のインシデントを、Symantec が確認している。

無数の差異が確認されているが、これらのマルウェアは全て、主に OneDrive などの 365 サービスを C2 化するために、Graph API を使用しているという共通点を持つ。

Symantec の Dick O’Brien は、「ユーザー組織は、承認されていないクラウド・アカウントを使用している個人を、これまで以上に意識する必要がある。個人用の OneDrive アカウントに、職場のネットワークからアクセスしているという話をよく耳にする。このようなクラウド・プラットフォームへの全体的なアクセスを許可することで、マルウェアを検知する可能性が低下する。接続先が自社のテナントであることを、つまり自社に属するアカウントであることを確認し、それ以外は全てロックする必要がある」と述べている。

この種の問題については、先日にカテゴリ LOLbin を作り、そこにまとめていますので、よろしければ、ご参照ください。このカテゴリの記事を眺めると、攻撃が Living off the Land Binary のレベルまで達してしまうと、セキュリティ対策を効率よく施せなくなる、とても恐ろしい状況に陥ることが解ります。ここの Microsoft Graph API に隠された C2 通信にも、ご注意ください。