新型恶意软件利用Microsoft Graph API与Havoc框架发起攻击活动

admin 2025年3月10日22:04:28评论8 views字数 1199阅读3分59秒阅读模式

1、事件概述

2025年3月,网络安全公司Fortinet发现了一项高度复杂的恶意网络攻击活动,该攻击活动结合了社会工程、多阶段恶意软件和合法云服务的滥用,旨在通过隐蔽的通信手段实现对Windows系统的深度控制。此次攻击的核心创新点在于修改版的Havoc框架(Havoc Demon Agent)与Microsoft Graph API的整合,使恶意通信能够伪装成合法的企业云服务流量,显著降低了被检测发现的概率。

2.攻击过程分析

初始入侵: 
攻击活动始于一封精心设计的钓鱼邮件,邮件中包含一个HTML附件(如“Documents.html”)。当用户打开附件时,会看到一个伪造的错误信息,提示用户手动执行一个PowerShell命令以“修复”问题。这种利用用户心理的技术被称为“ClickFix”,攻击者通过诱导用户将恶意命令复制到系统终端,从而绕过传统的基于文件的检测方法。
多阶段恶意软件传播:

第一阶段:PowerShell脚本会检查是否处于沙箱环境,并删除特定的注册表项以标记感染。如果环境通过检测,脚本会进一步下载并执行一个Python脚本。

第二阶段:Python脚本作为shellcode加载器,注入并执行一个名为KaynLdr的恶意DLL,该DLL通过API哈希和直接内存操作加载嵌入的DLL,进一步隐藏恶意行为。

C2通信与隐蔽性: 

攻击的核心是改良版的Havoc Demon框架。该框架利用Microsoft Graph API与攻击者控制的SharePoint文件进行通信,将恶意流量伪装成合法的云服务请求。恶意软件会在SharePoint的默认文档库中创建两个文件,分别用于发送加密数据和接收C2命令。所有通信均通过AES-256加密,并在传输完成后立即删除痕迹。

攻击能力:
该恶意软件支持超过50种后渗透功能,包括信息收集、文件操作和令牌操作等。通过这种方式,攻击者可以在受害者不知情的情况下完全控制受感染的设备。

新型恶意软件利用Microsoft Graph API与Havoc框架发起攻击活动

图 1 攻击流程

3.安全专家的建议

FortiGuard Labs的安全专家建议用户和组织采取以下措施以应对此类攻击:

  • 提高对钓鱼邮件的警惕性,尤其是涉及终端命令或PowerShell操作的邮件。
  • 监控SharePoint中的异常文件创建模式。
  • 限制非管理员上下文中PowerShell的执行。
  • 使用反病毒软件来检测和阻止恶意软件。

此外,专家还指出,攻击者利用Microsoft的可信服务进行隐蔽通信,显示了攻击的复杂性和隐蔽性。这种攻击方法需要用户手动执行命令,虽然增加了攻击的复杂性,但也提醒用户在操作时必须格外小心。

参考链接:
https://hackread.com/malware-exploits-microsoft-graph-api-infect-windows/

原文始发于微信公众号(白泽安全实验室):新型恶意软件利用Microsoft Graph API与Havoc框架发起攻击活动

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月10日22:04:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型恶意软件利用Microsoft Graph API与Havoc框架发起攻击活动https://cn-sec.com/archives/3824872.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息