Il Team AXON di Hunters ha scoperto e sta monitorando una campagna di minacce informatiche denominata VEILDrive. Questa campagna sfrutterebbe vari servizi Microsoft per scopi di comando e controllo (C2), rendendo difficile la rilevazione e la mitigazione delle attività malevole.
Origine e scoperta
La campagna VEILDrive è stata identificata durante un’indagine su attività malevole in un’infrastruttura di un cliente di cui Hunters non ha rivelato il nome assegnando invece l’alias Org C. La campagna sembra avere origine in Russia e utilizza una combinazione di servizi Microsoft come Teams, SharePoint, Quick Assist e OneDrive per distribuire malware e gestire le comunicazioni C2.
Metodologia di attacco
Ciò che contraddistinguerebbe la campagna è il fatto che l’aggressore ha utilizzato, per la compromissione iniziale, un account utente appartenente a una precedente e potenziale vittima (Org A) inviando messaggi di spear phishing allo scopo di indurre a scaricare ed eseguire uno strumento di gestione remota e che i file dannosi erano ospitati su tenant SharePoint di una terza organizzazione Org B. I messaggi su Microsoft Teams sarebbero stati resi possibili grazie alla funzionalità di accesso esterno di Teams, che permette la comunicazione “One-on-One” con organizzazioni esterne.
Cosa accade
In pratica l’Org A invia messaggi di spear phishing per indurre la vittima (Org C) a scaricare ed eseguire uno strumento di gestione remota. A quel punto l’autore della minaccia invia un codice Quick Assist tramite un messaggio di Microsoft Teams per ottenere il controllo remoto iniziale. I link per il download dei file dannosi vengono invece condivisi con l’organizzazione C tramite messaggi di SharePoint e aperti dall’aggressore tramite Quick Assist.
Gli attori malevoli dietro VEILDrive utilizzano un metodo C2 basato su OneDrive, incorporato all’interno di malware personalizzato (che comunica con una macchina virtuale Azure di proprietà degli stessi attori tramite HTTPS Socket). Questi approcci consentono al malware di eludere le misure di sicurezza convenzionali, complicando la rilevazione in tempo reale. Il malware associato a VEILDrive sarebbe un file Java (.jar) che, nonostante la sua semplicità e mancanza di offuscamento, è riuscito a evadere i principali strumenti di rilevazione degli endpoint e tutti i motori di sicurezza su VirusTotal.
Conclusioni
La campagna VEILDrive si distingue per l’uso intensivo dell’infrastruttura SaaS di Microsoft per distribuire campagne di spear-phishing e memorizzare software malevolo. Questa dipendenza dai servizi SaaS complica ulteriormente la rilevazione e la difesa contro tali attacchi. Quanto rapportato da Hunters evidenzia la necessità di rivedere le strategie di rilevazione nelle infrastrutture ad alto rischio. Anche il codice semplice e non offuscato può evadere i meccanismi di rilevazione moderni, suggerendo un bisogno più ampio di migliorare le difese contro le minacce emergenti. Il Team AXON ha segnalato le sue scoperte a Microsoft per aiutare a smantellare l’infrastruttura degli attaccanti e ha contattato le organizzazioni colpite per mitigare ulteriori sfruttamenti.