利用Microsoft Graph API,Outlook成恶意软件传播新渠道
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
研究人员发现一种新型恶意软件,利用Microsoft Graph API通过Outlook进行通信,主要用于网络间谍活动。该恶意软件包括PATHLOADER和FINALDRAFT,其中PATHLOADER负责下载和执行加密代码,FINALDRAFT则专注于数据窃取和进程注入。为防御此类威胁,组织应监控API使用、实施访问控制并部署高级安全解决方案。
🎯
关键要点
- 研究人员发现新型恶意软件,通过Microsoft Graph API利用Outlook进行通信。
- 该恶意软件包括PATHLOADER和FINALDRAFT,主要用于网络间谍活动。
- PATHLOADER是轻量级加载程序,负责下载和执行加密代码,使用字符串加密和API哈希处理以避免静态分析。
- FINALDRAFT是64位恶意软件,专注于数据窃取和进程注入,通过Microsoft Graph API与C2服务器通信。
- FINALDRAFT通过创建会话邮件草稿与C2服务器通信,邮件内容经过Base64编码但未加密。
- 恶意软件注册了37个命令处理程序,涉及进程注入、文件操作和网络代理功能。
- 组织应监控Microsoft Graph API使用情况,实施访问控制,并部署高级安全解决方案以防御此类威胁。
➡️
