Uma campanha de ameaça contínua, batizada de VEILDrive, foi observada aproveitando-se de serviços legítimos da Microsoft, incluindo Teams, SharePoint, Quick Assist e OneDrive, como parte de seu modus operandi.
"Aproveitando os serviços SaaS da Microsoft — incluindo Teams, SharePoint, Quick Assist e OneDrive , o atacante explorou as infraestruturas confiáveis de organizações previamente comprometidas para distribuir ataques de spear-phishing e armazenar malware", disse a empresa israelense de cibersegurança Hunters em um novo relatório.
Esta estratégia centrada na nuvem permitiu que o ator de ameaças evitasse a detecção pelos sistemas convencionais de monitoramento.
A Hunters disse que descobriu a campanha em setembro de 2024, após responder a um incidente cibernético visando uma organização de infraestrutura crítica nos Estados Unidos.
Não divulgou o nome da empresa, em vez disso, deu a ela a designação "Org C".
Acredita-se que a atividade tenha começado um mês antes, com o ataque culminando na implantação de um malware baseado em Java que utiliza o OneDrive para comando e controle (C2).
Diz-se que o ator de ameaças por trás da operação enviou mensagens do Teams para quatro funcionários da Org C, se passando por um membro da equipe de TI e solicitando acesso remoto aos seus sistemas por meio da ferramenta Quick Assist.
O que fez com que esse método de comprometimento inicial se destacasse foi que o atacante utilizou uma conta de usuário pertencente a uma possível vítima anterior (Org A), em vez de criar uma nova conta para esse propósito.
"As mensagens do Microsoft Teams recebidas pelos usuários alvo da Org C foram possíveis devido à funcionalidade de 'Acesso Externo' do Microsoft Teams, que permite comunicação Um-a-Um com qualquer organização externa por padrão", disse a Hunters.
No próximo passo, o ator de ameaças compartilhou via chat um link de download do SharePoint para um arquivo ZIP ("Client_v8.16L.zip") que estava hospedado em um inquilino diferente (Org B).
O arquivo ZIP continha embutido, entre outros arquivos, outra ferramenta de acesso remoto chamada LiteManager.
O acesso remoto obtido via Quick Assist foi então usado para criar tarefas agendadas no sistema para executar periodicamente o software de monitoramento e gerenciamento remoto (RMM) LiteManager.
Também é baixado um segundo arquivo ZIP ("Cliento.zip") usando o mesmo método que incluía o malware baseado em Java na forma de um arquivo Java Archive (JAR) e todo o Java Development Kit (JDK) para executá-lo.
O malware é projetado para se conectar a uma conta OneDrive controlada pelo adversário usando credenciais do Entra ID (anteriormente Azure Active Directory) codificadas, usando-a como um C2 para buscar e executar comandos PowerShell no sistema infectado usando a Microsoft Graph API.
Ele também inclui um mecanismo de fallback que inicializa um socket HTTPS para uma máquina virtual remota no Azure, que é então utilizada para receber comandos e executá-los sob o contexto do PowerShell.
Esta não é a primeira vez que o programa Quick Assist é usado dessa maneira.
Em maio deste ano, a Microsoft alertou que um grupo de cibercriminosos com motivação financeira conhecido como Storm-1811 abusou dos recursos do Quick Assist, fingindo serem profissionais de TI ou pessoal de suporte técnico para ganhar acesso e instalar o ransomware Black Basta.
O desenvolvimento também ocorre semanas depois que o fabricante do Windows disse ter observado campanhas abusando de serviços legítimos de hospedagem de arquivos como SharePoint, OneDrive e Dropbox como meio de evitar a detecção.
"Esta estratégia dependente de SaaS complica a detecção em tempo real e contorna as defesas convencionais", disse a Hunters.
Com zero obscurificação e código bem estruturado, esse malware desafia a tendência típica de design focado em evasão, tornando-o incomumente legível e direto.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...