利用Microsoft Graph API,Outlook成恶意软件传播新渠道
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
研究人员发现一种新型恶意软件,利用Microsoft Graph API通过Outlook进行通信,主要用于网络间谍活动。该恶意软件包括PATHLOADER和FINALDRAFT,其中PATHLOADER负责下载和执行加密代码,FINALDRAFT则专注于数据窃取和进程注入。为防御此类威胁,组织应监控API使用、实施访问控制并部署高级安全解决方案。
🎯
关键要点
- 研究人员发现新型恶意软件,通过Microsoft Graph API利用Outlook进行通信。
- 该恶意软件包括PATHLOADER和FINALDRAFT,主要用于网络间谍活动。
- PATHLOADER是轻量级加载程序,负责下载和执行加密代码,使用字符串加密和API哈希处理以避免静态分析。
- FINALDRAFT是64位恶意软件,专注于数据窃取和进程注入,通过Microsoft Graph API与C2服务器通信。
- FINALDRAFT通过创建会话邮件草稿与C2服务器通信,邮件内容经过Base64编码但未加密。
- 恶意软件注册了37个命令处理程序,涉及进程注入、文件操作和网络代理功能。
- 组织应监控Microsoft Graph API使用情况,实施访问控制,并部署高级安全解决方案以防御此类威胁。
❓
延伸问答
这种恶意软件是如何利用Microsoft Graph API的?
恶意软件通过Microsoft Graph API与C2服务器进行通信,使用会话邮件草稿发送和接收命令。
PATHLOADER和FINALDRAFT的主要功能是什么?
PATHLOADER负责下载和执行加密代码,而FINALDRAFT专注于数据窃取和进程注入。
组织应该如何防御这种恶意软件?
组织应监控Microsoft Graph API使用情况,实施访问控制,并部署高级安全解决方案。
FINALDRAFT是如何进行数据窃取的?
FINALDRAFT通过进程注入和创建会话邮件草稿来收集并发送受害机器的信息。
这种恶意软件的通信协议是怎样的?
通信协议通过创建会话邮件草稿来处理命令,响应则写入新的邮件草稿中。
恶意软件如何避免被静态分析?
PATHLOADER使用字符串加密和API哈希处理来混淆其功能,避免静态分析。
➡️
