検出困難なマルウェア「BirdyClient」とは? MS Graph APIも悪用することが判明:セキュリティニュースアラート
GBHackers on Securityは新たなマルウェア「BirdyClient」がMicrosoftのGraph APIを悪用していると報告した。同マルウェアはウクライナの組織を標的にしており、検出が困難とされている。
GBHackers on Securityは2024年5月3日(現地時間)、新たなマルウェア「BirdyClient」(あるいは「OneDriveBirdyClient」)が「Microsoft Graph API」を悪用してMicrosoftクラウドサービスを介したコマンド&コントロール(C2)通信が可能だということが明らかになったと報告した。このマルウェアはウクライナのある組織を標的とし、正規のクラウドトラフィックに紛れて悪意のある通信を行う。
正規クラウドトラフィックに紛れる新たな脅威
GBHackers on Securityによれば、BirdyClientは正規のソフトウェアを装いながら、動機や属性が不明な攻撃者に悪意のある目的で利用されている。BirdyClientは「Microsoft OneDrive」を悪用し、Microsoft Graph APIと接続することでC2通信を可能にして、ファイルのアップロードとダウンロードを実行する。
GBHackers on Securityによると、Microsoftクラウドサービスを統合するために構築されたMicrosoft Graph APIの悪用がサイバー犯罪者の間で一般的になりつつある。今回発見されたマルウェアだけでなく、「Bluelight」(Vedalia/APT37)や「Backdoor.Graphon」(Harvester)、「Graphite」(Swallowtail/APT28)についても、C2目的での悪用が確認されている。この新たなアプローチは脅威アクターが悪意のある通信を正規のクラウドトラフィックに隠すのに役立つと考えられており、検出を困難する。
さまざまな脅威アクターの間で、運用の継続性を確保する目的でC2サーバとして機能するMicrosoftのクラウドサービス導入が増加している。
GBHackers on Securityは、承認されたAPIアクセスチャネルによるC2通信が深刻な問題を引き起こす可能性を指摘。対処するためにより高い警戒心を持つことや革新的な保護メカニズムを導入することを推奨している。
関連記事
- Veeam、Microsoftとの戦略的協業を延長 M365やAzure向けデータ保護機能を強化
VeeamはMicrosoftとの戦略的パートナーシップを5年間延長すると発表した。Veeam製品へのMicrosoft Copilotの統合および、Microsoft 365やMicrosoft Azure向けのデータ保護ソリューションの強化を計画している。 - Copilot for Securityの一般提供が4月1日から開始 従量課金制でより利用しやすく
Microsoftは2024年4月1日から生成AIソリューション「Microsoft Copilot for Security」を一般提供すると発表した。従量課金制でセキュリティアナリストを支援する複数の機能を提供する。 - Microsoft、2048bit未満のRSA鍵使用を非推奨に
MicrosoftはWindowsでTLSサーバ認証に使用される全てのRSA証明書について、鍵の長さが2048bit以上であることを必須にすると発表した。 - Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
Microsoftは2024年4月1日から「Copilot for Security」の提供を開始した。Copilot for Securityは、新しいMicrosoft Entraのスキルを搭載し、IDとセキュリティインシデントの解決を支援する。マイクロソフトはプロンプトの実例も公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.