如今，越来越多黑客开始利用微软Graph API逃避安全检测。博通公司旗下的赛门铁克威胁猎人团队在一份报告中提到，这样做是为了方便与托管在微软云服务上的命令与控制（C&C）基础设施进行通信。

自2022年1月以来，已观察到多个与国家结盟的黑客组织使用微软图形API进行C&C。其中包括被追踪为 APT28、REF2924、Red Stinger、Flea、APT29 和 OilRig 等黑客组织。

在微软图形应用程序接口（Graph API）被更广泛地采用之前，第一个已知的微软图形应用程序接口滥用实例可追溯到 2021 年 6 月。当时一个被称为 Harvester 的组织使用了一个名为 Graphon 的定制植入程序，该植入程序利用 API 与微软基础架构进行通信。

赛门铁克称最近检测到了针对乌克兰一个未具名组织使用了相同的技术，其中涉及部署一个以前未记录的名为BirdyClient（又名OneDriveBirdyClient）的恶意软件。

这是一个名称为 "vxdiff.dll "的 DLL 文件，与一个名为 Apoint 的应用程序（"apoint.exe"）的合法 DLL 文件相同，其目的是连接到 Microsoft Graph API，并将 OneDrive 用作 C&C 服务器，从中上传和下载文件。

目前尚不清楚 DLL 文件的确切传播方式，也不知道是否涉及 DLL 侧载，具体威胁方以及最终目的是什么目前也是未知。

赛门铁克表示：攻击者与 C&C 服务器的通信通常会引起目标组织的警惕。Graph API之所以受到攻击者的青睐，可能是因为他们认为这种通信方式不太会引起怀疑。

除了看起来不显眼之外，它还是攻击者廉价而安全的基础设施来源，因为OneDrive等服务的基本账户是免费的。Permiso揭示了拥有特权访问权限的攻击者如何利用云管理命令在虚拟机上执行命令。

这家云安全公司表示：大多数情况下，攻击者会利用信任关系，通过入侵第三方外部供应商或承包商，在连接的虚拟机或混合环境中执行命令，而这些外部供应商或承包商拥有管理内部云环境的权限。

通过入侵这些外部实体，攻击者可以获得高级访问权限，从而在虚拟机或混合环境中执行命令。

参考来源：Hackers Increasingly Abusing Microsoft Graph API for Stealthy Malware Communications