افزایش تهدیدات با استفاده از API مایکروسافت و راه حل های جدید سیمانتک
در سالهای اخیر، حملات سایبری به سرعت در حال تغییر و تکامل هستند و مهاجمان از ابزارها و روشهای جدید برای جلوگیری از شناسایی و افزایش کارایی حملات خود استفاده میکنند. یکی از تکنیکهای نوین که به تازگی بیشتر مورد توجه قرار گرفته، استفاده از Microsoft Graph API برای تسهیل ارتباط با سرورهای فرمان و کنترل (C&C) در حملات سایبری است. شرکتهای امنیتی مانند سیمانتک افزایش استفاده از این تکنیک توسط گروههای مختلف تهدید را به طور جدی بررسی کرده و هشدارهایی در این زمینه منتشر کردهاند. در این مقاله به بررسی نحوه استفاده از Graph API در حملات سایبری و تجزیه و تحلیل مورد خاصی از بدافزار BirdyClient که در اوکراین شناسایی شده است، میپردازیم.
API Graph مایکروسافت چیست؟
Microsoft Graph API یک رابط برنامهنویسی است که به توسعهدهندگان امکان دسترسی به منابع ابری مایکروسافت مانند سرویسهای Microsoft 365 را میدهد. این API قادر است به دادهها و سرویسهای متعددی از جمله ایمیل، رویدادهای تقویم، فایلها و دستگاهها دسترسی پیدا کند و آنها را یکپارچه کند. برای استفاده از این API، تأیید هویت از طریق توکنهای دسترسی OAuth انجام میشود که امنیت دسترسی به دادهها را تضمین میکند.
از آنجایی که Graph API یک ابزار قانونی و پرکاربرد برای توسعهدهندگان است، مهاجمان سایبری نیز به آن علاقهمند شدهاند. آنها از این API برای مخفیسازی ارتباطات خود با سرورهای C&C استفاده میکنند. در نتیجه، ارتباطات آنها کمتر در ترافیک شبکه شناسایی میشود، چرا که Graph API از سرویسهای ابری شناخته شده و پرکاربرد مانند OneDrive و Microsoft 365 استفاده میکند.
BirdyClient: بدافزار جدید اوکراینی با استفاده از API مایکروسافت
یکی از نمونههای جدیدی که توسط سیمانتک و دیگر شرکتهای امنیتی کشف شده، بدافزاری به نام BirdyClient است. این بدافزار که برای اولین بار در حملهای به یک سازمان در اوکراین شناسایی شد، از Microsoft Graph API برای برقراری ارتباط با سرورهای فرمان و کنترل خود استفاده کرده است. بدافزار BirdyClient با استفاده از این API، فایلهایی را به حساب OneDrive مهاجم آپلود و دانلود میکند و از این طریق با سرورهای C&C ارتباط برقرار مینماید.
یکی از نکات جالب در مورد BirdyClient این است که این بدافزار با یک فایل DLL قانونی به نام vxdiff.dll جایگزین شده است. این فایل DLL به طور معمول با نرمافزار درایور Apoint، که برای دستگاههای اشارهگر لپتاپهای Alps استفاده میشود، در ارتباط است. هنوز مشخص نیست که آیا این بدافزار تنها برای پنهان شدن به این نام تغییر یافته یا به نوعی توسط نرمافزار Apoint لود میشود.
این بدافزار همچنین یک فایل لاگ به نام 001.temp در آدرس %AllUsersProfile%/{0134AA2C-03BE-448D-8D28-7FFE94EA3A49}/config ایجاد میکند. با این حال، هنوز هیچ ابزار یا بدافزار مرتبط دیگری با BirdyClient یافت نشده و همچنین هویت توسعهدهندگان و انگیزههای آنها نامشخص باقی مانده است.
سابقه استفاده از Graph API در حملات سایبری
استفاده از Microsoft Graph API در حملات سایبری جدید نیست. اولین نمونهای که از این تکنیک استفاده کرد، گروه جاسوسی Vedalia، وابسته به کره شمالی (معروف به APT37)، بود. این گروه بدافزاری به نام Bluelight را توسعه داد که به عنوان مرحله دوم حملات مورد استفاده قرار میگرفت و از APIهای ابری مختلف، از جمله Microsoft Graph API، برای برقراری ارتباط با سرورهای C&C استفاده میکرد.
در سال 2021، گروه جاسوسی Harvester که به یکی از کشورهای جنوب آسیا حمله کرد، از درب پشتی Backdoor.Graphon برای برقراری ارتباط با زیرساختهای مایکروسافت استفاده کرد. همچنین در اوایل سال 2022، بدافزار Graphite که از Microsoft Graph API برای برقراری ارتباط با یک حساب OneDrive به عنوان سرور فرمان و کنترل استفاده میکرد، شناسایی شد. این بدافزار در کمپینی علیه چندین دولت در اروپا و آسیا استفاده شد و به گروه جاسوسی Swallowtail وابسته به روسیه نسبت داده شد.
استفاده گستردهتر از API مایکروسافت توسط گروههای جاسوسی
از زمانی که استفاده از Microsoft Graph API توسط اولین گروههای جاسوسی کشف شد، سایر گروههای تهدید نیز به سرعت از این روش استفاده کردهاند. به عنوان مثال، در دسامبر 2022، یک نفوذ به دفتر امور خارجه یک کشور عضو ASEAN با استفاده از بدافزار SiestaGraph شناسایی شد. این بدافزار از Graph API برای تعامل با سرویسهای OneDrive و Microsoft 365 Mail استفاده میکرد.
در سال 2023، سیمانتک بدافزار جدیدی به نام Backdoor.Graphican را کشف کرد که توسط گروه تهدید پیشرفته Flea (معروف به APT15 یا Nickel) در کمپینی جاسوسی علیه وزارتخانههای امور خارجه در قاره آمریکا استفاده شد. Graphican نسخهای پیشرفته از بدافزار قدیمیتر Ketrican بود که خود بر اساس بدافزار BS2005 ساخته شده بود. ویژگی جدید Graphican استفاده از Graph API مایکروسافت و OneDrive برای برقراری ارتباط با زیرساخت C&C بود.
ابزارهای آزمایشی و یادگیری از مهاجمان
با افزایش استفاده از Microsoft Graph API توسط مهاجمان سایبری، حتی برخی از شرکتهای امنیتی نیز شروع به توسعه ابزارهای آزمایشی برای ارزیابی نقاط ضعف امنیتی کردهاند. به عنوان مثال، شرکت RedSiege به تازگی اعلام کرده است که ابزار جدیدی به نام GraphStrike توسعه داده که با Cobalt Strike همکاری میکند و به payload آن اجازه میدهد از Graph API برای ارتباطات HTTPS با سرورهای C&C استفاده کند.
دلیل جذابیت Microsoft Graph API برای مهاجمان
یکی از دلایل اصلی که Graph API برای مهاجمان جذاب است، این است که ارتباطات آن به سرورهای C&C کمتر مورد توجه قرار میگیرد. سازمانهای هدف معمولاً ترافیک ارتباطی با سرویسهای ابری معتبر مانند OneDrive یا Microsoft 365 را به عنوان تهدید شناسایی نمیکنند. از طرف دیگر، استفاده از این سرویسها برای مهاجمان ارزان است، زیرا سرویسهای ابری مانند OneDrive در نسخههای اولیه رایگان هستند.
علاوه بر این، استفاده از Microsoft Graph API به مهاجمان اجازه میدهد تا به روشی امنتر و با شانس کمتر برای شناسایی، زیرساختهای C&C خود را مدیریت کنند. با افزایش آگاهی در مورد این روش، احتمالاً تعداد بیشتری از مهاجمان از Graph API برای حملات خود استفاده خواهند کرد.
استفاده از Microsoft Graph API به عنوان روشی برای تسهیل ارتباط با سرورهای فرمان و کنترل، نمونهای از نوآوریهای مداوم در حملات سایبری است. گروههای جاسوسی و مهاجمان سایبری با استفاده از ابزارهای قانونی و شناختهشده مانند Graph API میتوانند از شناسایی شدن جلوگیری کرده و حملات خود را با موفقیت بیشتری انجام دهند. بدافزارهایی مانند BirdyClient، Graphite و Graphican نشان میدهند که این تکنیک در حال گسترش است و سازمانها باید تدابیر امنیتی خود را بهروز کرده و از ابزارهای شناسایی پیشرفتهتر برای مقابله با این نوع تهدیدات استفاده کنند.
در پایان، واضح است که شرکتهای امنیتی مانند سیمانتک با پیگیری مستمر این تهدیدات و به اشتراکگذاری اطلاعات با جامعه امنیتی جهانی، نقش مهمی در حفاظت از زیرساختهای دیجیتالی بازی میکنند. شرکت آلما شبکه با مدیریت جناب آقای وحید فوائدی، آماده ارائه انواع راهکارهای نوین امنیتی بر اساس محصولات اورجینال سیمانتک می باشد.
