Microsoft Graph API используется как проводник вредоноса

Microsoft Graph API используется как проводник вредоноса

Microsoft Graph API используется как проводник вредоноса

Киберпреступники все чаще используют Microsoft Graph API во вредоносных кампаниях, чтобы избежать обнаружения. Как правило, вектор фигурирует в целевых атаках, организованных подготовленными группировками.

Из отчёта Symantec известно, что это делается для облегчения связи с командно-контрольной (C&C) инфраструктурой, размещенной на облачных сервисах Microsoft.

По данным специалистов, с января 2022 года несколько киберпреступных групп, включая APT28, Red Stinger, OilRig и другие, активно используют Microsoft Graph API.

В первый раз об использовании Microsoft Graph API в атаках стало известно в июне 2021. Тогда это связали с кластером активности под названием Harvester, в котором был обнаружен кастомный имплант Graphon, использующий API для взаимодействия с инфраструктурой Microsoft.

В Symantec рассказали, что эта же техника недавно фиксировалась в отношении неназванной организации на Украине. В атаке был применен ранее не задокументированный вредонос, именуемый BirdyClient (или OneDriveBirdyClient).

Обнаруженный во время кибератаки DLL-файл под названием «vxdiff.dll» совпадает с наименованием легитимного DLL, связанного с приложением Apoint («apoint.exe»). Именно он предназначен для подключения к Microsoft Graph API и использования OneDrive в качестве C&C-сервера для загрузки и скачивания файлов с него.

До сих пор неизвестен точный метод распространения DLL-файла, как и конечные цели злоумышленников.

В Symantec высказали свои мысли по поводу популярности Graph API среди хакеров. Специалисты отметили, что трафик к используемым облачным сервисам с меньшей вероятностью вызовет подозрения. Немаловажно, что это безопасный и дешёвый источник инфраструктуры, так как для таких сервисов, как OneDrive, базовые учетные записи бесплатны.

Компания Permiso показала, как злоумышленники могут злоупотреблять командами администрирования облака с привилегированным доступом для выполнения действий в виртуальных машинах.

Чаще всего это достигается путём компрометации сторонних внешних поставщиков или подрядчиков, имеющих привилегированный доступ для управления внутренними облачными средами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Инвестиции лидируют среди схем мошенников

В России, по данным МВД, среди наиболее распространённых схем обмана лидирующие позиции занимает инвестиционное мошенничество. Этот вид преступлений, как отмечают в ведомстве, активно вытесняет другие способы обмана и становится одним из главных инструментов злоумышленников для выманивания денег и личных данных у граждан.

Материалы МВД оказались в распоряжении РИА Новости. Согласно им, инвестиционное мошенничество вышло в лидеры среди схем, используемых аферистами.

Преступники ищут жертв в мессенджерах и тематических интернет-группах. Завоевав доверие, они предлагают попробовать себя в роли трейдера.

По данным компании F6, ещё в 2024 году активность инвестиционных мошенников в соцсетях и на видеохостингах выросла почти в 40 раз. Помимо этого, они используют обзвоны, а также умело играют на новостном фоне и публикуют вымышленные «личные истории» на различных площадках.

В первой половине 2025 года аналитики BI.ZONE зафиксировали более 1500 доменов, задействованных в инвестиционных схемах. На этих ресурсах размещались детально проработанные подделки официальных торговых платформ.

«Для убедительности мошенники могут позволить вам вывести несколько тысяч рублей. Однако всё это — фейк», — предупреждают в МВД.

На подобных сайтах часто публикуются многочисленные положительные отзывы от мнимых «клиентов», якобы уже получивших выплаты. При этом аферисты не ограничиваются кражей денег: они также собирают персональные данные или навязывают установку вредоносных программ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru