Киберпреступники всё чаще используют Microsoft Graph API для управления вредоносными программами и обхода систем обнаружения. По данным исследователей из компании Symantec, подобные действия направлены на облегчение связи с C2-инфраструктурой, размещённой в облачных сервисах Microsoft. С января 2022 года специалисты фиксируют активное использование Microsoft Graph API разными группами хакеров, связанными с различными государствами. Среди них выделяются такие акторы угроз, как APT28, REF2924, Red Stinger, Flea, APT29 и OilRig. Первый известный случай применения Microsoft Graph API был зарегистрирован в июне 2021 года. Тогда использование API связывали с кластером деятельности, получившим название Harvester, а в атаках использовался специализированный имплантат под названием Graphon для связи с инфраструктурой Microsoft. Недавно Symantec обнаружила использование этой же техники против неуказанной организации на Украине. В этом инциденте применялось ранее не задокументированное вредоносное ПО под названием BirdyClient (или OneDriveBirdyClient). Программный модуль, обнаруженный в ходе атаки, носит название «vxdiff.dll» и совпадает с наименованием легитимного DLL, связанного с приложением Apoint («apoint.exe»). Он предназначен для подключения к Microsoft Graph API и использования OneDrive в качестве C2-сервера для загрузки и выгрузки файлов. Метод распространения этого DLL-файла пока не известен, как и окончательные цели киберпреступников. Согласно отчёту Symantec, использование Graph API популярно среди атакующих, так как трафик к известным облачным сервисам менее подозрителен. Кроме того, для злоумышленников это дешёвый и безопасный способ получения инфраструктуры, поскольку базовые учётные записи сервисов вроде OneDrive предоставляются бесплатно. Также сообщается о возможностях злоупотребления командами администрирования облака, которые могут быть использованы злоумышленниками для выполнения произвольных действий в виртуальных машинах при наличии привилегированного доступа. Это часто достигается за счёт компрометации внешних подрядчиков или контрагентов, которые имеют привилегированный доступ к управлению внутренними облачными средами.