GraphWorm惡意程式濫用微軟OneDrive作為C2通道,利用雲端服務隱藏攻擊流量
攻擊手法與背景
資安業者ESET近日發布報告指出,與中國有關的駭客組織Webworm,透過新型惡意程式GraphWorm向歐洲政府機構發動攻擊。這款惡意程式利用微軟Graph API存取雲端檔案共享與儲存服務OneDrive空間,作為命令與控制(C2)通道,藉由受信任的雲端服務隱藏惡意流量,提高偵測難度。
攻擊細節與後續發展
根據安全客報導,該活動約於一個月前開始,攻擊最終導致部署了基於Java的惡意軟體,該惡意軟體使用OneDrive進行命令和控制(C2)。幕後組織透過微軟Graph API與OneDrive服務收發指令與上傳資料,以逃避傳統資安系統的監控。
相關技術與防禦
微軟已強調其雲端安全解決方案,例如Microsoft Cloud App Security,可辨識並防範來自雲端應用程式的攻擊,並控制資料在雲端應用程式的流向。此類技術有助於偵測與阻斷惡意程式透過合法服務(如OneDrive)進行隱藏活動的行為。
類似威脅態勢
- 過去已有駭客組織濫用SharePoint與OneDrive進行網路釣魚與惡意程式分發。
- 其他後門程式如Grager亦曾透過OneDrive作為C2通道,顯示此類攻擊手法日益普遍。