国家的网络攻击者滥用 Microsoft Graph API 进行数据窃取

关键要点

国家级攻击者利用 Microsoft Graph API 通过合法的云服务窃取敏感数据。攻击者正在转向不易引起安全警报的服务，如 OneDrive。此类攻击以中国为首的国家行为者为主要执行者，且攻击正在逐渐升级。IT 安全团队需要采取措施确保网络安全，监控流量和用户活动。

拉斯维加斯国家级攻击者越来越多地利用 Microsoft Graph API 来在明目张胆的情况下窃取受害者的数据。通过攻击者控制的 Outlook、OneDrive 和 Google Drive 账户，威胁行为者能够使用这些不易引发安全警报的服务，从受害者的计算机转移敏感数据。

这项研究将于本周三在 Black Hat USA 上的 Symantec 威胁猎手团队发布，会议主题为云覆盖：复杂恶意行为者如何利用合法云服务。

[至于 Black Hat USA 的现场直播报道，请访问我们突出展示的 Black Hat USA 2024 报道页面。]

“攻击者正在从使用未知或黑名单上 C2指挥和控制域窃取数据转变为使用像 OneDrive 这样的可信服务，这些服务不会被那么严格审查，”Symantec 威胁猎手团队的调查员 Marc Elias 在接受 SC Media 采访时表示。

在周三发布的研究中，Elias声称与中国有联系的国家级威胁行为者正在利用这些合法的云服务。他提到这类攻击并非新鲜事，但滥用 Microsoft Graph API 的策略正在上升。

“在我们的研究中，我们仅发现一个针对美国 IT 领域的活动 OneDriveTools，但这只是个开始，”Elias 表示。

在一份于 5 月发布的报告中，Symantec 详细介绍了一种名为 BirdyClient 的恶意软件，它在乌克兰被发现，利用 Microsoft Graph API 和 OneDrive 作为 C2 服务器来从受害者那里上传和下载文件。

研究人员表示，攻击最早在南亚被观察到，并预计将扩展至北美，因为攻击者继续取得成功。Elias 指出，滥用 Microsoft Graph API 的攻击是在已经被入侵的系统上进行的。

Marc Elias，Symantec 的威胁猎手团队调查员，在 8 月 7 日的 Black Hat USA 上预告了一个名为云覆盖：恶意行为者如何利用云服务的会议。

Microsoft Graph API 是一种被称为 RESTful 的网络 API，允许第三方网络服务轻松访问 Microsoft 的云账户数据和服务，如 Office 365、OneDrive 和 SharePoint。身份认证通过 OAuth 令牌进行。

报告并没有暗示 Graph API 或 OAuth 本身有缺陷，仅指出攻击者利用已被攻击者入侵的系统上的工具。Symantec 的研究还包含了有关在持续攻击中使用的后门恶意软件家族的新见解。

“在过去几周内，Symantec 的威胁猎手团队识别出使用云服务的另外三次间谍行动，并发现了进一步开发的工具证据，”报告指出。研究的恶意软件家族和黑客工具包括 GoGra，MoonTag，Onedrivetools，Google Drive Exfiltration 和 Grager。

以下是 Symantec 团队观察到的有关云基础设施攻击的简单概述：

一种名为 GoGra 的后门TrojanGogra在 2023 年 11 月针对南亚的一个媒体组织进行部署。GoGra 使用 Go 语言编写，并利用 Microsoft Graph API 与托管在 Microsoft 邮件服务上的 C2 服务器进行交互。

一款名为 Firefly 的间谍组织在对东南亚一个军事组织的攻击中部署了一个数据窃取工具。对该工具的分析发现它是一个公开可用的 Google Drive 客户端，使用 Python 封装。

一种名为 TrojanGrager 的后门于 2024 年 4 月在台湾、香港和越南针对三家组织进行部署。分析显示它使用 Graph API 与