利用 Microsoft Graph API，Outlook 成恶意软件传播新渠道

2025-11-26 21:19:22分类：人工智能阅读(36)

近日 ，利用研究人员发现了一种新型恶意软件系列 ，成恶通过Microsoft Graph API利用Microsoft Outlook作为通信渠道。意软这一复杂的播新恶意软件包括一个自定义加载程序和一个后门，分别被称为PATHLOADER和FINALDRAFT
。渠道根据其复杂性和长期运行的利用特点，该恶意软件主要被用于网络间谍活动。成恶

恶意软件的意软核心组件

(1) PATHLOADER ：轻量级加载程序

PATHLOADER是一个轻量级的Windows可执行文件 ，用于从外部基础设施下载并执行加密的建站模板播新shellcode。为了避免静态分析，渠道它使用了Fowler-Noll-Vo哈希函数进行API哈希处理
，利用并将配置嵌入到.data部分中 ，成恶其中包括C2（命令与控制）设置。意软研究人员发现，播新PATHLOADER使用字符串加密来混淆其功能 ，渠道这使得分析人员难以追踪其控制流
。

此外，PATHLOADER通过使用GetTickCount64和Sleep方法 ，避免了在沙箱环境中立即执行 。随后 ，它通过HTTPS GET请求从预配置的源码下载C2域名下载shellcode
。

(2) FINALDRAFT：数据窃取与进程注入

FINALDRAFT是一个用C++编写的64位恶意软件
，主要专注于数据窃取和进程注入。它使用Microsoft Graph API与其C2服务器进行通信 。恶意软件通过存储在配置中的刷新令牌获取Microsoft Graph API令牌，并在令牌有效期间重复使用 。

FINALDRAFT通过在Outlook中创建会话邮件草稿与C2服务器通信。这些邮件的内容经过Base64编码 ，但未进行AES加密。高防服务器命令会被处理  ，响应则写入新的邮件草稿中。

通信协议与关键功能

通信协议的核心是创建一个会话邮件草稿（如果不存在）。每个处理后的命令都会将响应写入邮件草稿中。会话数据结构包括会话ID和构建编号
。

FINALDRAFT通过检查邮件草稿中的最后五个C2命令请求邮件来填充命令。读取请求后 ，这些邮件会被删除 。香港云服务器恶意软件注册了37个命令处理程序 ，主要涉及进程注入 、文件操作和网络代理功能 。一些关键命令包括 ：

GatherComputerInformation：收集并发送受害机器的信息 。StartTcpServerProxyToC2：启动一个TCP服务器代理，连接到C2服务器 。DoProcessInjectionSendOutputEx ：注入到正在运行的进程中并发送输出
。如何防御此类威胁

利用Microsoft Graph API进行C2通信的行为凸显了采取增强安全措施的迫切性 。为抵御像FINALDRAFT这样复杂的亿华云恶意软件威胁，组织应定期监控Microsoft Graph API的使用情况 ，以发现任何可疑活动，并实施严格的访问控制 ，限制对Outlook和API的访问 ，仅允许必要人员使用。

此外，部署高级端点安全解决方案有助于检测和阻止恶意软件的执行 ，而定期进行安全审计则可确保潜在漏洞得到识别和修复  。服务器租用这些主动措施将显著增强组织的安全态势 。