Microsoft의 Graph API를 활용한 위협

💡 Microsoft Graph API란?

Microsoft Graph은 Microsoft 365 서비스에 저장된 데이터에 액세스 할 수 있는 API
이 API를 사용하면 사용자 지정 응용 프로그램이 조직의 데이터에 연결하고 조직 내에서 생산성을 향상시킬 수 있음

즉, 클라우드 기반으로 Microsoft 365에 저장된 데이터에 액세스를 제공하는 API임

⬇ Microsoft Graph 서비스 이해
https://learn.microsoft.com/ko-kr/training/modules/msgraph-intro-overview/3-microsoft-graph-services

Microsoft Graph 서비스 이해 - Training

Microsoft Graph 및 서비스에서 사용자 및 그룹을 사용하는 방법에 대해 알아봅니다.

learn.microsoft.com

⚔ 공격에 이용된 Graph API

클라우드 기반 C2 서버 통신에 사용됨

Microsoft 클라우드 서비스에서 호스팅 되는 C2 인프라와의 통신을 용이하기 위해 Graph API를 활용하는 위협이 증가함

📢 Graph API를 이용한 실제 공격 사례

이러한 기술이 우크라이나의 한 조직에 대한 공격에서 가장 최근에 사용되었음
이 공격에 사용된 악성코드는 이전에 발견되지 않았음

해당 악성코드는 Graph API를 사용해 C2 목적으로 Microsoft OneDrive를 활용함

🧫 Graph API를 이용한 악성코드: BirdyClient

우크라이나에서 발견된 악성코드로, BirdyClient 또는 OneDriveBirdyClient로 명명된 것으로 보여짐

위처럼 명명된 이유는 해당 악성코드가 발견된 파일인 vxdiff.dll에서 BirdyClient와 OneDriveBirdyClient에 대한 언급이 발견됨

vxdiff.dll은 노트북에서 흔히 볼 수 있는 Alps사에서 제공하는 Alps 포인팅 장치(마우스나 터치패드)의 드라이버 관리 및 제어 소프트웨어인 Apoint (apoint.exe)와 연관된 유효한 DLL과 동일함

하지만 이 악성코드가 유효한 DLL로 위장한 것인지, DLL을 통해 사이드로드 되는지는 알려지지 않음

📑 BirdyClient의 주요 기능

Microsoft Graph API에 연결
공격자의 Microsoft OneDrive를 C&C 서버처럼 이용해 파일을 업로드하고 다운로드함

⬇ Graph API를 이용한 파일 다운로드 문서
https://learn.microsoft.com/en-us/graph/api/driveitem-get-content?view=graph-rest-1.0&tabs=http

Download a file - Microsoft Graph v1.0

Download the contents of the primary stream (file) of a driveItem. Only driveItems with the file property can be downloaded.

learn.microsoft.com

⬇ Graph API를 이용한 파일 업로드/덮어쓰기 문서

https://learn.microsoft.com/en-us/graph/api/driveitem-put-content?view=graph-rest-1.0&tabs=http

Upload small files - Microsoft Graph v1.0

Provide the contents of a new file or update the contents of an existing file in a single API call.

learn.microsoft.com

해당 악성코드는 다음과 같은 로그 파일을 생성함

%AllUsersProfile%/{0134AA2C-03BE-448D-8D28-7FFE94EA3A49}/config/001.temp

📽 Graph API를 악용한 과거 사례

북한의 APT37이 개발한 Bluelight 악성코드에서 최초로 악용됨

이후 Backdoor.Graphon, Graphite, SiestaGraph에서도 Graph API가 이용됨

작년 6월의 APT15의 공격에서도 동일한 수법이 이용된 것이 발견됨

👩‍💻 공격자 관점에서의 Graph API 활용

일반적인 방식으로 C2 통신을 하는 경우, 해당 행위가 포착되기 쉬움
그러나 Graph API는 사람들이 널리 이용하고 있는 정상적인 서비스이기 때문에, 공격 행위자에게는 의심스러운 트래픽으로 보여지지 않을 수 있는 안전한 인프라로 여겨짐
또한, OneDrive와 같은 서비스는 기본적으로 무료로 이용할 수 있어 적은 예산으로 이용할 수 있음

🔒 마무리

클라우드 플랫폼에 대한 접근 권한 부여에 대한 중요성이 강조됨

참고

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/graph-api-threats

Graph: Growing number of threats leveraging Microsoft API

Graph API is often used for inconspicuous communications to cloud-based command-and-control servers.

symantec-enterprise-blogs.security.com

https://www.darkreading.com/cloud-security/microsoft-graph-api-emerges-as-top-attacker-tool-to-plot-data-theft

저작자표시 비영리 변경금지 (새창열림)

'보안 이슈' 카테고리의 다른 글

AI 환각으로 인한 새로운 공급망 공격: 슬롭스쿼팅(Slopsquatting) (0)	2025.04.14
사이버 범죄 포럼에 유출된 Amazon의 직원 정보 (2)	2024.11.13
하드웨어 공급망 공격은 사이버 공격일까? (1)	2024.09.30
SpyAgent: 이미지 인식을 통한 암호 화폐 자격 증명 탈취 안드로이드 스파이웨어 (0)	2024.09.09
백악관, 인터넷의 취약한 연결고리 BGP 보안 강화 필요성 제기 (6)	2024.09.04

💡 Microsoft Graph API란?

⚔ 공격에 이용된 Graph API

📢 Graph API를 이용한 실제 공격 사례

🧫 Graph API를 이용한 악성코드: BirdyClient

📑 BirdyClient의 주요 기능

📽 Graph API를 악용한 과거 사례

👩‍💻 공격자 관점에서의 Graph API 활용

🔒 마무리

참고

'보안 이슈' 카테고리의 다른 글

티스토리툴바