検出困難なマルウェア「BirdyClient」とは？ MS Graph APIも悪用することが判明：セキュリティニュースアラート

GBHackers on Securityは新たなマルウェア「BirdyClient」がMicrosoftのGraph APIを悪用していると報告した。同マルウェアはウクライナの組織を標的にしており、検出が困難とされている。

[後藤大地，有限会社オングス]

　GBHackers on Securityは2024年5月3日（現地時間）、新たなマルウェア「BirdyClient」（あるいは「OneDriveBirdyClient」）が「Microsoft Graph API」を悪用してMicrosoftクラウドサービスを介したコマンド＆コントロール（C2）通信が可能だということが明らかになったと報告した。このマルウェアはウクライナのある組織を標的とし、正規のクラウドトラフィックに紛れて悪意のある通信を行う。

正規クラウドトラフィックに紛れる新たな脅威

　GBHackers on Securityによれば、BirdyClientは正規のソフトウェアを装いながら、動機や属性が不明な攻撃者に悪意のある目的で利用されている。BirdyClientは「Microsoft OneDrive」を悪用し、Microsoft Graph APIと接続することでC2通信を可能にして、ファイルのアップロードとダウンロードを実行する。

　GBHackers on Securityによると、Microsoftクラウドサービスを統合するために構築されたMicrosoft Graph APIの悪用がサイバー犯罪者の間で一般的になりつつある。今回発見されたマルウェアだけでなく、「Bluelight」（Vedalia/APT37）や「Backdoor.Graphon」（Harvester）、「Graphite」（Swallowtail/APT28）についても、C2目的での悪用が確認されている。この新たなアプローチは脅威アクターが悪意のある通信を正規のクラウドトラフィックに隠すのに役立つと考えられており、検出を困難する。

　さまざまな脅威アクターの間で、運用の継続性を確保する目的でC2サーバとして機能するMicrosoftのクラウドサービス導入が増加している。

　GBHackers on Securityは、承認されたAPIアクセスチャネルによるC2通信が深刻な問題を引き起こす可能性を指摘。対処するためにより高い警戒心を持つことや革新的な保護メカニズムを導入することを推奨している。