Uma campanha de ameaças contínua apelidada VEILDrive foi observado aproveitando serviços legítimos da Microsoft, incluindo Groups, SharePoint, Fast Help e OneDrive, como parte de seu modus operandi.
“Aproveitando os serviços SaaS da Microsoft – incluindo Groups, SharePoint, Fast Help e OneDrive – o invasor explorou as infraestruturas confiáveis de organizações anteriormente comprometidas para distribuir ataques de spear-phishing e armazenar malware”, disse a empresa israelense de segurança cibernética Hunters em um novo relatório.
“Essa estratégia centrada na nuvem permitiu que o ator da ameaça evitasse a detecção por sistemas de monitoramento convencionais.”
A Hunters disse que descobriu a campanha em setembro de 2044, depois de responder a um incidente cibernético visando uma organização de infraestrutura crítica nos Estados Unidos. Não divulgou o nome da empresa, atribuindo-lhe a designação “Org C.”
Acredita-se que a atividade tenha começado um mês antes, com o ataque culminando na implantação de um malware baseado em Java que emprega OneDrive para comando e controle (C2).
Diz-se que o autor da ameaça por trás da operação enviou mensagens do Groups a quatro funcionários da Organização C, fingindo ser um membro da equipe de TI e solicitando acesso remoto aos seus sistemas por meio da ferramenta Fast Help.
O que destacou esse método de comprometimento inicial é que o invasor utilizou uma conta de usuário pertencente a uma possível vítima anterior (Organização A), em vez de criar uma nova conta para essa finalidade.
“As mensagens do Microsoft Groups recebidas pelos usuários-alvo da Org C foram possibilitadas pela funcionalidade de ‘Acesso Externo’ do Microsoft Groups, que permite a comunicação particular person com qualquer organização externa por padrão”, disse Hunters.
Na próxima etapa, o agente da ameaça compartilhou por meio do chat um hyperlink de obtain do SharePoint para um arquivo ZIP (“Client_v8.16L.zip”) que estava hospedado em um locatário diferente (Organização B). O arquivo ZIP veio incorporado, entre outros arquivos, com outra ferramenta de acesso remoto chamada LiteManager.
O acesso remoto obtido by way of Fast Help foi então usado para criar tarefas agendadas no sistema para executar periodicamente o software program de monitoramento e gerenciamento remoto LiteManager (RMM).
Também está sendo baixado um segundo arquivo ZIP (“Cliento.zip”) usando o mesmo método que incluía o malware baseado em Java na forma de um arquivo Java (JAR) e todo o Java Improvement Package (JDK) para executá-lo.
O malware é projetado para se conectar a uma conta OneDrive controlada pelo adversário usando credenciais Entra ID (anteriormente Azure Energetic Listing) codificadas, usando-o como um C2 para buscar e executar comandos do PowerShell no sistema infectado usando a API Microsoft Graph.
Ele também inclui um mecanismo de fallback que inicializa um soquete HTTPS para uma máquina digital remota do Azure, que é então utilizada para receber comandos e executá-los no contexto do PowerShell.
Esta não é a primeira vez que o programa Fast Help é usado dessa maneira. No início de maio deste ano, a Microsoft alertou que um grupo cibercriminoso com motivação financeira conhecido como Storm-1811 utilizou indevidamente os recursos do Fast Help, fingindo ser profissionais de TI ou pessoal de suporte técnico para obter acesso e eliminar o ransomware Black Basta.
O desenvolvimento também ocorre semanas depois que o fabricante do Home windows disse ter observado campanhas que abusavam de serviços legítimos de hospedagem de arquivos como SharePoint, OneDrive e Dropbox como forma de evitar a detecção.
“Essa estratégia dependente de SaaS complica a detecção em tempo actual e contorna as defesas convencionais”, disse Hunters. “Com zero ofuscação e código bem estruturado, esse malware desafia a tendência típica de design focado na evasão, tornando-o excepcionalmente legível e direto”.
