Una campaña de amenazas en curso llamada VEILDrive Se observó que aprovechaba servicios legítimos de Microsoft, incluidos Teams, SharePoint, Quick Assist y OneDrive, como parte de su modus operandi.
“Al explotar los servicios SaaS de Microsoft, incluidos Teams, SharePoint, Quick Assist y OneDrive, el atacante aprovechó la infraestructura confiable de organizaciones previamente comprometidas para distribuir ataques de phishing y almacenar malware”, dijo la compañía israelí Cybersecurity Hunters. dicho en un nuevo informe.
“Esta estrategia centrada en la nube permitió al actor malintencionado evitar la detección de los sistemas de vigilancia convencionales”.
Hunters dijo que descubrió la campaña en septiembre de 204 después de responder a un incidente cibernético dirigido a una organización de infraestructura crítica en los Estados Unidos. No reveló el nombre de la empresa, sino que le dio la designación “Org C”.
Según se informa, la actividad comenzó un mes antes, y el ataque resultó en la implementación de malware basado en Java que utiliza OneDrive para comando y control (C2).
El actor malicioso detrás de la operación supuestamente envió mensajes de Teams a cuatro empleados de la Organización C haciéndose pasar por miembros del equipo de TI y solicitando acceso remoto a sus sistemas a través de la herramienta Quick Assist.
Lo que distingue a este método de compromiso inicial es que el atacante utilizó una cuenta de usuario que pertenecía a una víctima potencial anterior (Organización A), en lugar de crear una nueva cuenta para este propósito.
“Los mensajes de Microsoft Teams recibidos por los usuarios específicos de la Organización C fueron posibles gracias a Microsoft Teams”Acceso externo“, que de forma predeterminada permite la comunicación uno a uno con cualquier organización externa”, dijo Hunters.
En el siguiente paso, el actor de amenazas compartió a través del chat un enlace de descarga de SharePoint a un archivo ZIP (“Client_v8.16L.zip”) alojado en otro inquilino (Organización B). El archivo ZIP estaba integrado, entre otros archivos, con otra herramienta de acceso remoto llamada LiteManager.
El acceso remoto obtenido a través de Quick Assist se utilizó luego para crear tareas programadas en el sistema para ejecutar periódicamente el software de administración y monitoreo remoto (RMM) LiteManager.
La descarga también implica descargar un segundo archivo ZIP (“Cliento.zip”) usando el mismo método que incluía el malware basado en Java en forma de un archivo Java (JAR) y todo el SDK de Java (JDK) para ejecutarlo.
El malware está diseñado para iniciar sesión en una cuenta OneDrive controlada por el adversario usando credenciales codificadas de Entra ID (anteriormente Azure Active Directory), usándola como C2 para recuperar y ejecutar comandos de PowerShell en el sistema infectado usando Microsoft Graph API.
También incorpora un mecanismo alternativo que inicializa un socket HTTPS en una máquina virtual remota de Azure, que luego se usa para recibir comandos y ejecutarlos en el contexto de PowerShell.
Esta no es la primera vez que el programa Quick Assist se utiliza de esta manera. A principios de mayo, Microsoft advirtió que un grupo de ciberdelincuentes con motivación financiera conocido como Storm-1811 había abusado de las funciones Quick Assist haciéndose pasar por profesionales de TI o personal de soporte técnico para acceder y eliminar el ransomware Black Basta.
Este desarrollo también se produce semanas después de que el fabricante de Windows dijera que había observado campañas que abusaban de servicios legítimos de alojamiento de archivos como SharePoint, OneDrive y Dropbox para evadir la detección.
“Esta estrategia dependiente de SaaS complica la detección en tiempo real y elude las defensas convencionales”, dijo Hunters. “Sin ofuscación y código bien estructurado, este malware desafía la tendencia típica del diseño basado en la evasión, haciéndolo inusualmente legible y simple”.