微软Graph API、SharePoint同时遭到滥用，被用来传播恶意程序框架

假借各式名义要求用户将特定程序代码“复制、粘贴”的ClickFix攻击行动，最近不断传出相关事故，如今黑客结合滥用微软服务的手段，使得攻击行动更难被发现。

安全企业Fortinet披露传播恶意程序框架Havoc的攻击行动，黑客结合ClickFix与多阶段恶意程序攻击手法，试图于受害计算机植入Havoc的代理程序。黑客为了隐匿攻击行动，运用SharePoint网站存放恶意软件，并滥用微软Graph的API来创建C2通信。

这起事故的发生，攻击者在初期是通过挟带HTML文件的钓鱼邮件进行，信件以急促的内容要求收信人立刻打开附件。一旦收信人照做，就会落入黑客的ClickFix攻击圈套，此HTML文件会在浏览器显示假的错误消息，要求依照指示将指令粘贴终端机并执行，修复无法连上“One Drive”云计算服务的问题。

看似如此，但暗地里，黑客从SharePoint下载脚本文件，检查受害计算机的环境，下载解译器并执行Python脚本，加载名为KaynLdr的Shell Code加载工具，最终于受害计算机部署Havoc。