Uma campanha de ameaça contínua chamada VEILDrive foi visto aproveitando os serviços oficiais da Microsoft, incluindo Teams, SharePoint, Quick Assist e OneDrive, como parte de seu fluxo de trabalho.
“Usando serviços SaaS da Microsoft – incluindo Teams, SharePoint, Quick Assist e OneDrive – o invasor explorou a infraestrutura confiável de organizações anteriormente comprometidas para distribuir ataques de phishing e hospedar malware”, disse a empresa em comunicado. .
“Essa estratégia centrada na nuvem permitiu que um ator de ameaça evitasse a detecção por sistemas de monitoramento tradicionais.”
Hunters disseram que descobriram a campanha em setembro de 2044, depois de responderem a um incidente cibernético visando uma organização de infraestrutura crítica nos Estados Unidos. Não divulgou o nome da empresa, mas sim o nome “Org C.”
Acredita-se que a operação tenha começado no mês passado, com o ataque culminando no uso de malware baseado em Java que utiliza o OneDrive para comando e controle (C2).
O autor da ameaça no projeto supostamente enviou mensagens da equipe a quatro funcionários da Organização C, fingindo ser membro da equipe de TI e solicitando acesso remoto aos seus sistemas usando a ferramenta Quick Assist.
O que destacou esse primeiro comprometimento foi que o invasor utilizou a conta de usuário de uma vítima potencial anterior (Organização A), em vez de criar uma nova conta para essa finalidade.
“As mensagens do Microsoft Teams recebidas por usuários direcionados da Organização C são possibilitadas pela funcionalidade de ‘Acesso Externo’ do Microsoft Teams, que permite a comunicação individual com qualquer organização externa automaticamente”, disse Hunters.
Na próxima etapa, o agente da ameaça compartilhou a conversa com um link de download do SharePoint em um arquivo ZIP (“Client_v8.16L.zip”) que estava hospedado em um empregador diferente (Organização B). O arquivo ZIP contém, entre outros arquivos, outra ferramenta de acesso remoto chamada LiteManager.
O acesso remoto obtido através do Quick Assist foi então utilizado para criar tarefas agendadas no sistema para executar periodicamente o software de monitoramento e gerenciamento LiteManager (RMM).
Outro download é um segundo arquivo ZIP (“Cliento.zip”) usando o mesmo método que agrupa o malware baseado em Java na forma de um arquivo Java (JAR) e todo o Java Development Kit (JDK) para executá-lo.
O malware foi projetado para se conectar a uma conta OneDrive controlada pelo adversário usando credenciais do Entra ID (anteriormente conhecido como Azure Active Directory), usá-lo como um C2 para baixar e executar comandos do PowerShell no sistema infectado usando a API Microsoft Graph.
Ele também é empacotado em um método de fallback que inicia um soquete HTTPS em um computador remoto do Azure, que é então usado para receber comandos e executá-los em um contexto do PowerShell.
Esta não é a primeira vez que o sistema Quick Assist é usado desta forma. No início de maio deste ano, a Microsoft alertou que um grupo cibercriminoso com motivação financeira conhecido como Storm-1811 utilizou indevidamente os recursos do Quick Assist, fazendo-se passar por profissionais de TI ou trabalhadores de suporte técnico para acessar e descartar o ransomware Black Basta.
O desenvolvimento ocorre semanas depois que o fabricante do Windows disse ter visto campanhas que abusavam de serviços legítimos de hospedagem de arquivos como SharePoint, OneDrive e Dropbox como forma de evitar a detecção.
“Essa estratégia dependente de SaaS dificulta a detecção em tempo real e o desvio das defesas tradicionais”, disse Hunters. “Com sua transparência e código bem estruturado, esse malware desafia o design usual orientado à evasão, tornando-o extraordinariamente legível e direto”.
