如今，越來越多黑客開始利用微軟圖形應用程序接口（Graph API）逃避安全檢測。博通公司旗下的賽門鐵克威脅獵人團隊在一份報告中提到，這樣做是為了方便與托管在微軟云服務上的命令與控制（C&C）基礎設施進行通信。

自2022年1月以來，已觀察到多個與國家結盟的黑客組織使用微軟圖形API進行C&C。其中包括被追蹤為 APT28、REF2924、Red Stinger、Flea、APT29 和 OilRig 等黑客組織。

在微軟圖形應用程序接口（Graph API）被更廣泛地采用之前，第一個已知的微軟圖形應用程序接口濫用實例可追溯到 2021 年 6 月。當時一個被稱為 Harvester 的組織使用了一個名為 Graphon 的定制植入程序，該植入程序利用 API 與微軟基礎架構進行通信。

賽門鐵克稱最近檢測到了針對烏克蘭一個未具名組織使用了相同的技術，其中涉及部署一個以前未記錄的名為BirdyClient（又名OneDriveBirdyClient）的惡意軟件。

這是一個名稱為 "vxdiff.dll "的 DLL 文件，與一個名為 Apoint 的應用程序（"apoint.exe"）的合法 DLL 文件相同，其目的是連接到 Microsoft Graph API，并將 OneDrive 用作 C&C 服務器，從中上傳和下載文件。

目前尚不清楚 DLL 文件的確切傳播方式，也不知道是否涉及 DLL 側載，具體威脅方以及最終目的是什么目前也是未知。

賽門鐵克表示：攻擊者與 C&C 服務器的通信通常會引起目標組織的警惕。Graph API之所以受到攻擊者的青睞，可能是因為他們認為這種通信方式不太會引起懷疑。

除了看起來不顯眼之外，它還是攻擊者廉價而安全的基礎設施來源，因為OneDrive等服務的基本賬戶是免費的。Permiso揭示了擁有特權訪問權限的攻擊者如何利用云管理命令在虛擬機上執行命令。

這家云安全公司表示：大多數情況下，攻擊者會利用信任關系，通過入侵第三方外部供應商或承包商，在連接的虛擬機或混合環境中執行命令，而這些外部供應商或承包商擁有管理內部云環境的權限。

通過入侵這些外部實體，攻擊者可以獲得高級訪問權限，從而在虛擬機或混合環境中執行命令。