Microsoft Graph API を利用するマルウェアは、FNU LNU というユーザー名の OAuth アクセス トークンを使用して Outlook メール サービスにアクセスできます。
このマルウェアは、暗号化された電子メール メッセージを 256 ビット AES-256 で復号し、「ハードコードされたキー」を使用してファイルにアクセスし、システムおよびマシンの情報を収集します。
さらに、バックドアはファイルをダウンロード、アップロード、実行することができます。
C2 の目的で Outlook の代わりに Microsoft OneDrive を使用してデータベースにアクセスしたりアクセスしたりすることもできます。
コメント