VietNetwork.Vn

Một chiến dịch đe dọa đang diễn ra có tên VEILDrive đã bị phát hiện lợi dụng các dịch vụ hợp pháp của Microsoft, bao gồm Teams, SharePoint, Quick Assist và OneDrive, như một phần trong phương thức hoạt động của mình.

Công ty an ninh mạng Hunters của Israel cho biết trong một báo cáo mới: "Kẻ tấn công đã lợi dụng các dịch vụ SaaS của Microsoft — bao gồm Teams, SharePoint, Quick Assist và OneDrive — cơ sở hạ tầng đáng tin cậy của các tổ chức đã bị xâm phạm trước đó để phát tán các cuộc tấn công lừa đảo qua email và lưu trữ phần mềm độc hại".


"Chiến lược tập trung vào đám mây này cho phép kẻ tấn công tránh bị phát hiện bởi các hệ thống giám sát thông thường."

Hunters cho biết họ phát hiện ra chiến dịch này vào tháng 9 năm 204 sau khi phản ứng với một sự cố mạng nhắm vào một tổ chức cơ sở hạ tầng quan trọng tại Hoa Kỳ. Họ không tiết lộ tên công ty, thay vào đó đặt tên là "Org C."

Hoạt động này được cho là đã bắt đầu từ một tháng trước, với cuộc tấn công lên đến đỉnh điểm là triển khai phần mềm độc hại dựa trên Java sử dụng OneDrive để chỉ huy và kiểm soát (C2).

Kẻ tấn công đứng sau hoạt động này được cho là đã gửi tin nhắn Teams cho bốn nhân viên của Org C bằng cách mạo danh một thành viên nhóm CNTT và yêu cầu truy cập từ xa vào hệ thống của họ thông qua công cụ Quick Assist.

Điều khiến phương pháp xâm phạm ban đầu này trở nên nổi bật là kẻ tấn công sử dụng tài khoản người dùng thuộc về một nạn nhân tiềm năng trước đó (Tổ chức A), thay vì tạo một tài khoản mới cho mục đích này.

Hunters cho biết: "Những tin nhắn Microsoft Teams mà người dùng mục tiêu của Org C nhận được có thể thực hiện được nhờ chức năng ' Truy cập bên ngoài ' của Microsoft Teams, cho phép giao tiếp một-một với bất kỳ tổ chức bên ngoài nào theo mặc định".


Ở bước tiếp theo, tác nhân đe dọa đã chia sẻ qua trò chuyện một liên kết tải xuống SharePoint đến tệp lưu trữ ZIP ("Client_v8.16L.zip") được lưu trữ trên một đối tượng thuê khác (Org B). Tệp lưu trữ ZIP được nhúng cùng với một công cụ truy cập từ xa khác có tên là LiteManager, trong số các tệp khác.

Quyền truy cập từ xa có được thông qua Quick Assist sau đó được sử dụng để tạo các tác vụ theo lịch trình trên hệ thống nhằm thực hiện định kỳ phần mềm quản lý và giám sát từ xa (RMM) LiteManager.

Ngoài ra, còn có thể tải xuống tệp ZIP thứ hai ("Cliento.zip") bằng phương pháp tương tự như phương pháp đã đưa phần mềm độc hại dựa trên Java vào dưới dạng tệp lưu trữ Java (JAR) và toàn bộ Bộ công cụ phát triển Java (JDK) để thực thi tệp này.

Phần mềm độc hại này được thiết kế để kết nối với tài khoản OneDrive do kẻ tấn công kiểm soát bằng thông tin đăng nhập Entra ID (trước đây là Azure Active Directory) được mã hóa cứng, sử dụng thông tin này làm C2 để truy xuất và thực thi lệnh PowerShell trên hệ thống bị nhiễm bằng cách sử dụng Microsoft Graph API.

Nó cũng tích hợp cơ chế dự phòng khởi tạo socket HTTPS thành máy ảo Azure từ xa, sau đó được sử dụng để nhận lệnh và thực thi chúng trong bối cảnh của PowerShell.

Đây không phải là lần đầu tiên chương trình Quick Assist được sử dụng theo cách này. Đầu tháng 5 này, Microsoft đã cảnh báo rằng một nhóm tội phạm mạng có động cơ tài chính được gọi là Storm-1811 đã sử dụng sai các tính năng Quick Assist bằng cách giả danh là chuyên gia CNTT hoặc nhân viên hỗ trợ kỹ thuật để truy cập và thả ransomware Black Basta.

Sự phát triển này diễn ra vài tuần sau khi nhà sản xuất Windows cho biết họ đã quan sát thấy các chiến dịch lạm dụng các dịch vụ lưu trữ tệp hợp pháp như SharePoint, OneDrive và Dropbox để trốn tránh phát hiện.

"Chiến lược phụ thuộc vào SaaS này làm phức tạp việc phát hiện theo thời gian thực và bỏ qua các biện pháp phòng thủ thông thường", Hunters cho biết. "Với mã không che giấu và có cấu trúc tốt, phần mềm độc hại này thách thức xu hướng thiết kế tập trung vào việc né tránh thông thường, khiến nó dễ đọc và dễ hiểu một cách bất thường".