据观察,一个名为 VEILDrive 的持续威胁活动利用微软的合法服务(包括 Teams、SharePoint、Quick Assist 和 OneDrive)作为其作案手法的一部分。
以色列网络安全公司Hunters在一份新报告中称:“利用微软的SaaS服务(包括Teams、SharePoint、Quick Assist和OneDrive),攻击者利用之前被入侵组织的可信基础设施来发布鱼叉式网络钓鱼攻击和存储恶意软件。”
“这种以云为中心的策略使威胁行为者得以避开传统监控系统的检测。”
Hunters 称,204 年 9 月,该公司在应对一起针对美国关键基础设施组织的网络事件后发现了这一活动。它没有透露这家公司的名称,而是将其命名为 “Org C”。
据信,该活动在一个月前开始,攻击最终导致部署了基于 Java 的恶意软件,该恶意软件使用 OneDrive 进行命令和控制 (C2)。
据说,幕后的威胁行为者冒充 IT 团队成员向 C机关的四名员工发送了团队信息,并请求通过快速协助工具远程访问他们的系统。
这种最初的入侵方法之所以引人注目,是因为攻击者利用了属于先前潜在受害者(机关 A)的用户账户,而不是为此创建一个新账户。
Hunters说:“C机关的目标用户收到的Microsoft Teams消息是通过Microsoft Teams的‘外部访问’功能实现的,该功能默认情况下允许与任何外部组织进行一对一通信。”
下一步,威胁实施者通过聊天工具分享了一个指向 ZIP 压缩文件(“Client_v8.16L.zip”)的 SharePoint 下载链接,该文件托管在另一个租户(B 组织)上。除其他文件外,该 ZIP 压缩包还嵌入了另一个名为 LiteManager 的远程访问工具。
通过 “快速助手 ”获得的远程访问权限被用于在系统上创建计划任务,以定期执行 LiteManager 远程监控和管理 (RMM) 软件。
同时下载的还有第二个 ZIP 文件(“Cliento.zip”),该文件使用了相同的方法,包括 Java 存档 (JAR) 形式的 Java 恶意软件和整个 Java 开发工具包 (JDK) 以执行该恶意软件。
恶意软件被设计为使用硬编码的 Entra ID(前身为 Azure Active Directory)凭据连接到对手控制的 OneDrive 帐户,将其用作 C2,通过使用 Microsoft Graph API 在受感染系统上获取和执行 PowerShell 命令。
它还内置了一种后备机制,可将 HTTPS 套接字初始化到远程 Azure 虚拟机,然后利用该套接字接收命令并在 PowerShell 上下文中执行这些命令。
这已经不是快速辅助程序第一次以这种方式被使用了。今年 5 月早些时候,微软曾警告说,一个名为 Storm-1811 的网络犯罪团伙滥用快速辅助功能,假装成 IT 专业人员或技术支持人员,获取访问权限并投放 Black Basta 勒索软件。
在此之前几周,这家 Windows 制造商还表示,它已经观察到滥用 SharePoint、OneDrive 和 Dropbox 等合法文件托管服务作为逃避检测手段的活动。
“这种依赖 SaaS 的策略使实时检测变得复杂,并绕过了传统的防御手段,”Hunters 说。“这款恶意软件采用零混淆和结构良好的代码,打破了以规避为重点的典型设计趋势,使其具有非同寻常的可读性和直观性。”
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容