据观察,一个名为 VEILDrive 的持续威胁活动利用微软的合法服务(包括 Teams、SharePoint、Quick Assist 和 OneDrive)作为其作案手法的一部分。
以色列网络安全公司Hunters在一份新报告中称:“利用微软的SaaS服务(包括Teams、SharePoint、Quick Assist和OneDrive),攻击者利用之前被入侵组织的可信基础设施来发布鱼叉式网络钓鱼攻击和存储恶意软件。”
“这种以云为中心的策略使威胁行为者得以避开传统监控系统的检测。”
Hunters 称,204 年 9 月,该公司在应对一起针对美国关键基础设施组织的网络事件后发现了这一活动。它没有透露这家公司的名称,而是将其命名为 “Org C”。
据信,该活动在一个月前开始,攻击最终导致部署了基于 Java 的恶意软件,该恶意软件使用 OneDrive 进行命令和控制 (C2)。
据说,幕后的威胁行为者冒充 IT 团队成员向 C机关的四名员工发送了团队信息,并请求通过快速协助工具远程访问他们的系统。
这种最初的入侵方法之所以引人注目,是因为攻击者利用了属于先前潜在受害者(机关 A)的用户账户,而不是为此创建一个新账户。
Hunters说:“C机关的目标用户收到的Microsoft Teams消息是通过Microsoft Teams的‘外部访问’功能实现的,该功能默认情况下允许与任何外部组织进行一对一通信。”
下一步,威胁实施者通过聊天工具分享了一个指向 ZIP 压缩文件(“Client_v8.16L.zip”)的 SharePoint 下载链接,该文件托管在另一个租户(B 组织)上。除其他文件外,该 ZIP 压缩包还嵌入了另一个名为 LiteManager 的远程访问工具。
通过 “快速助手 ”获得的远程访问权限被用于在系统上创建计划任务,以定期执行 LiteManager 远程监控和管理 (RMM) 软件。
同时下载的还有第二个 ZIP 文件(“Cliento.zip”),该文件使用了相同的方法,包括 Java 存档 (JAR) 形式的 Java 恶意软件和整个 Java 开发工具包 (JDK) 以执行该恶意软件。
恶意软件被设计为使用硬编码的 Entra ID(前身为 Azure Active Directory)凭据连接到对手控制的 OneDrive 帐户,将其用作 C2,通过使用 Microsoft Graph API 在受感染系统上获取和执行 PowerShell 命令。
它还内置了一种后备机制,可将 HTTPS 套接字初始化到远程 Azure 虚拟机,然后利用该套接字接收命令并在 PowerShell 上下文中执行这些命令。
这已经不是快速辅助程序第一次以这种方式被使用了。今年 5 月早些时候,微软曾警告说,一个名为 Storm-1811 的网络犯罪团伙滥用快速辅助功能,假装成 IT 专业人员或技术支持人员,获取访问权限并投放 Black Basta 勒索软件。
在此之前几周,这家 Windows 制造商还表示,它已经观察到滥用 SharePoint、OneDrive 和 Dropbox 等合法文件托管服务作为逃避检测手段的活动。
“这种依赖 SaaS 的策略使实时检测变得复杂,并绕过了传统的防御手段,”Hunters 说。“这款恶意软件采用零混淆和结构良好的代码,打破了以规避为重点的典型设计趋势,使其具有非同寻常的可读性和直观性。”
发表评论
您还未登录,请先登录。
登录