Quando lo storage cloud diventa la cassetta della posta: il caso GraphWorm
Una backdoor segnalata e collegata a Webworm utilizza Microsoft Graph e OneDrive come canale di comando, evidenziando come il traffico SaaS ordinario possa essere riutilizzato per operazioni segrete.
Il malware più inquietante di oggi non ha sempre un aspetto insolito. A volte sembra una normale attività cloud. Ecco perché il caso GraphWorm è importante: la backdoor segnalata non dipende da un server aggressore rumoroso situato in un quartiere chiaramente malevolo. Si dice invece che comunichi tramite Microsoft Graph, utilizzando endpoint di OneDrive come parte del proprio percorso di command-and-control.
Fatti rapidi
- GraphWorm è il nome attribuito a una backdoor segnalata associata a Webworm.
- Si dice che il malware utilizzi Microsoft Graph ed endpoint di OneDrive per le comunicazioni di command-and-control.
- Webworm è descritto come un gruppo APT, con un’attribuzione allineata alla Cina che dovrebbe essere considerata una valutazione segnalata.
- Microsoft Graph è la superficie API ufficiale per accedere ai file di OneDrive e alle risorse correlate.
- I difensori hanno bisogno di telemetria su identità, app ed endpoint per individuare l’abuso delle API cloud.
Dal punto di vista tecnico, il cambiamento importante non è solo il fatto che sia coinvolto un servizio cloud. È che un’API enterprise diffusa diventa parte del livello di trasporto del malware. In pratica, ciò può rendere più difficile distinguere l’attività malevola dal normale utilizzo di Microsoft 365, soprattutto se un team di sicurezza fa eccessivo affidamento sul filtraggio basato sulla destinazione.
Microsoft Graph è progettato per esporre l’accesso a file e risorse in modo strutturato, ed è proprio questo il motivo per cui è attraente per le applicazioni legittime. Lo stesso design crea però anche un punto cieco difensivo: il traffico verso una piattaforma affidabile può sembrare ordinario, a meno che gli analisti non verifichino chi sta effettuando la richiesta, quali permessi sono stati concessi e se il comportamento corrisponde al normale schema dell’utente. In altre parole, il servizio è legittimo; il comportamento potrebbe non esserlo.
Il collegamento segnalato con Webworm aggiunge un ulteriore livello di preoccupazione. Suggerisce che un attore di spionaggio sia disposto ad adattare i propri strumenti a infrastrutture cloud-native invece di fare affidamento su hosting malware autonomo. Per i difensori, questo significa che la ricerca delle minacce deve andare oltre i soli indicatori di rete. Permessi OAuth sospetti, attività insolita su Graph, operazioni ripetute sui file che non si adattano al ruolo di un utente e tracce sugli endpoint che coincidono con le richieste cloud possono tutti diventare segnali utili.
Al momento della pubblicazione, le informazioni pubbliche non stabiliscono completamente l’ambito totale degli utenti colpiti, il vettore di accesso o se eventuali sistemi a valle siano stati compromessi. Le prove disponibili supportano un’analisi del rischio, non una conclusione generalizzata sull’impatto.
Conclusione
GraphWorm è un promemoria del fatto che il malware moderno non ha bisogno di combattere il cloud; può provare a sfruttarlo. La lezione più ampia è semplice ma scomoda: se un’organizzazione monitora solo IP malevoli e payload evidenti, potrebbe non notare un abuso nascosto all’interno di API affidabili. In un ambiente cloud-first, identità, permessi e comportamento sono spesso il vero perimetro.
TECHCROOK
hardware security key: Una hardware security key è un piccolo dispositivo per un accesso più sicuro a Microsoft 365, email e altri servizi che supportano l’MFA resistente al phishing. Per le organizzazioni che monitorano l’abuso delle API cloud, è un modo pratico per rafforzare le identità degli utenti e ridurre la dipendenza dalle sole password.
WIKICROOK
- Command-and-control (C2): Il canale che il malware utilizza per ricevere istruzioni e inviare dati dai sistemi infetti.
- Microsoft Graph API: L’API unificata di Microsoft per accedere a servizi e risorse come i file di OneDrive.
- Endpoint di OneDrive: Percorsi API usati per interagire con i contenuti di OneDrive, incluse le operazioni su file e cartelle.
- Backdoor: Malware che fornisce accesso remoto nascosto a un dispositivo o ambiente compromesso.
- Permessi OAuth: Diritti di accesso concessi a un’app o servizio, spesso critici quando l’abuso del cloud coinvolge consensi rubati o eccessivamente ampi.




